インターセプト デプロイを作成して管理する

インターセプト デプロイは、バックエンドがパケット検査 VM である内部パススルー ネットワーク ロードバランサの転送ルールを参照するゾーンリソースです。インターセプト デプロイは、ゾーンに対するプロデューサーの検査サービス オファリングを表します。

このページでは、インターセプト デプロイを作成して管理する方法について説明します。

始める前に

ロール

インターセプト デプロイを作成、表示、削除するには、Identity and Access Management(IAM)プリンシパルにプロジェクトに対する必要な IAM ロールが必要です。詳細については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

このページに記載されているオペレーションの進行状況を確認するには、IAM プリンシパルに次のインターセプト デプロイ管理者ロールroles/networksecurity.interceptDeploymentAdmin)権限が必要です。

  • networksecurity.interceptDeployments.create
  • networksecurity.interceptDeployments.delete
  • networksecurity.interceptDeployments.get
  • networksecurity.interceptDeployments.list

インターセプト デプロイの作成

ゾーン内のプロデューサーのコンピューティング リソースを表すインターセプト デプロイを作成し、既存のインターセプト デプロイ グループに関連付けます。

インターセプト デプロイは、親インターセプト デプロイ グループを含む同じプロジェクトに作成できます。セキュリティ管理者が所有するプロジェクトにインターセプト デプロイを作成することをおすすめします。

コンソール

  1. Google Cloud コンソールで、[デプロイ グループ] ページに移動します。

    [デプロイ グループ] に移動

  2. インターセプト デプロイを追加するデプロイ グループをクリックします。

  3. [インターセプト デプロイを作成] をクリックします。

  4. [名前] に、インターセプト デプロイの名前を入力します。

  5. [リージョン] と [ゾーン] で、リージョンとゾーンを選択します。

  6. [内部ロードバランサ] で、内部パススルー ネットワーク ロードバランサを選択します。

  7. [転送ルール] で、ロードバランサの UDP 転送ルールを選択します。ロードバランサに転送ルールが 1 つしかない場合は、デフォルトで選択され、フィールドが無効になります。

  8. [作成] をクリックします。

gcloud

インターセプト デプロイを作成するには、gcloud network-security intercept-deployments create コマンドを使用します。

gcloud network-security intercept-deployments create DEPLOYMENT_ID \
    --location ZONE \
    --forwarding-rule FWD_RULE \
    --forwarding-rule-location REGION \
    --no-async \
    --intercept-deployment-group \
        projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID

次のように置き換えます。

  • DEPLOYMENT_ID: インターセプト デプロイの ID。
  • ZONE: インターセプト デプロイを作成するゾーン。
  • FWD_RULE: インターセプト デプロイのゾーンと同じリージョンにある内部パススルー ネットワーク ロードバランサの転送ルール。
  • REGION: インターセプト デプロイのゾーンを含むリージョン。
  • PROJECT_ID: Google Cloud プロジェクトの ID
  • DEPLOYMENT_GROUP_ID: インターセプト デプロイ グループの ID。

Terraform

インターセプト デプロイを作成するには、google_network_security_intercept_deployment リソースを使用します。

resource "google_network_security_intercept_deployment" "default" {
  intercept_deployment_id    = "intercept-deployment"
  location                   = "us-central1-a"
  forwarding_rule            = google_compute_forwarding_rule.default.id
  intercept_deployment_group = google_network_security_intercept_deployment_group.default.id
}

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

インターセプト デプロイの詳細を表示する

インターセプト デプロイの名前、転送ルール、ロケーションなど、インターセプト デプロイの詳細を表示できます。

コンソール

  1. Google Cloud コンソールで、[デプロイ グループ] ページに移動します。

    [デプロイ グループ] に移動

  2. デプロイ グループの名前をクリックします。

  3. デプロイの名前をクリックします。

gcloud

インターセプト デプロイの詳細を表示するには、gcloud network-security intercept-deployments describe コマンドを使用します。

gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
    --location ZONE

次のように置き換えます。

  • DEPLOYMENT_ID: インターセプト デプロイの ID。
  • ZONE: インターセプト デプロイのゾーン。

出力では、インターセプト Deployment の名前が projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID 形式で表示されます。

インターセプト デプロイの一覧を取得する

プロジェクト内のすべてのインターセプト デプロイ(ID とロケーションを含む)を一覧表示できます。

コンソール

  1. Google Cloud コンソールで、[デプロイ グループ] ページに移動します。

    [デプロイ グループ] に移動

  2. デプロイ グループの名前をクリックします。

gcloud

インターセプト デプロイを一覧表示するには、gcloud network-security intercept-deployments list コマンドを使用します。

gcloud network-security intercept-deployments list \
    [--location ZONE]

特定のゾーンのインターセプト デプロイを表示するには、ZONE をインターセプト デプロイのゾーンに置き換えます。この設定は省略可能です。

インターセプト デプロイを削除する

インターセプト デプロイ グループで参照されていないインターセプト デプロイは削除できます。

コンソール

  1. Google Cloud コンソールで、[デプロイ グループ] ページに移動します。

    [デプロイ グループ] に移動

  2. インターセプト デプロイ グループの名前をクリックします。

  3. インターセプト デプロイのチェックボックスをオンにして、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

インターセプト デプロイを削除するには、gcloud network-security intercept-deployments delete コマンドを使用します。

gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
    --no-async \
    --location ZONE

次のように置き換えます。

  • DEPLOYMENT_ID: インターセプト デプロイの ID。
  • ZONE: インターセプト デプロイのゾーン。