Eine Abfang bereitstellung ist eine zonale Ressource, die auf die Weiterleitungsregel eines internen Passthrough-Network-Load-Balancers verweist, dessen Back-Ends VMs zur Paketprüfung sind. Eine Abfangbereitstellung stellt das Angebot des Erstellers für den Prüfdienst für eine Zone dar.
Auf dieser Seite wird beschrieben, wie Sie Abfangbereitstellungen erstellen und verwalten.
Hinweis
- Aktivieren Sie die Network Security API in Ihrem Projekt.
- Installieren Sie die gcloud CLI.
- Erstellen Sie eine Abfangbereitstellung gruppe.
- Achten Sie darauf, dass Sie eine Weiterleitungsregel haben, die den Netzwerkverkehr an den internen Passthrough-Network-Load-Balancer weiterleitet, dessen Backends die Paketprüfung durchführen. Weitere Informationen finden Sie unter Erstellerdienste einrichten.
Rollen
Wenn Sie Abfangbereitstellungen erstellen, ansehen oder löschen möchten, muss Ihr Identity and Access Management-Hauptkonto (IAM) die erforderlichen IAM Rollen für Ihr Projekt haben. Weitere Informationen finden Sie unter Zugriff auf Projekte, Ordner, und Organisationen verwalten.
Wenn Sie den Fortschritt der auf dieser Seite aufgeführten Vorgänge prüfen möchten, muss Ihr
IAM-Hauptkonto die folgenden Berechtigungen der Rolle „Abfangbereitstellungsadministrator“
(roles/networksecurity.interceptDeploymentAdmin) haben:
networksecurity.interceptDeployments.createnetworksecurity.interceptDeployments.deletenetworksecurity.interceptDeployments.getnetworksecurity.interceptDeployments.list
Abfangbereitstellung erstellen
Erstellen Sie eine Abfangbereitstellung, um die Compute-Ressourcen des Erstellers in einer Zone darzustellen, und verknüpfen Sie sie mit einer vorhandenen Abfangbereitstellungsgruppe.
Sie können die Abfangbereitstellungen im selben Projekt erstellen, das die übergeordnete Abfangbereitstellungsgruppe enthält. Wir empfehlen, die Abfangbereitstellung in einem Projekt zu erstellen, das Ihrem Sicherheitsadministrator gehört.
Console
Rufen Sie in der Google Cloud Console die Seite Bereitstellungsgruppen auf.
Klicken Sie auf die Bereitstellungsgruppe, der Sie die Abfangbereitstellung hinzufügen möchten.
Klicken Sie auf Abfangbereitstellung erstellen.
Geben Sie unter Name einen Namen für die Abfangbereitstellung ein.
Wählen Sie unter Region und Zone Ihre Region und Zone aus.
Wählen Sie unter Interner Load Balancer den internen Passthrough-Network-Load-Balancer aus.
Wählen Sie unter Weiterleitungsregel die UDP-Weiterleitungsregel des Load Balancers aus. Wenn der Load Balancer nur eine Weiterleitungsregel hat, ist diese standardmäßig ausgewählt und das Feld ist deaktiviert.
Klicken Sie auf Erstellen.
gcloud
Verwenden Sie den gcloud network-security
intercept-deployments create
Befehl, um eine Abfangbereitstellung zu erstellen:
gcloud network-security intercept-deployments create DEPLOYMENT_ID \
--location ZONE \
--forwarding-rule FWD_RULE \
--forwarding-rule-location REGION \
--no-async \
--intercept-deployment-group \
projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID
Ersetzen Sie Folgendes:
DEPLOYMENT_ID: die ID der Abfangbereitstellung.ZONE: die Zone, in der Sie die Abfangbereitstellung erstellen möchten.FWD_RULE: die Weiterleitungsregel eines internen Passthrough-Network-Load-Balancers in derselben Region wie die Zone der Abfangbereitstellung.REGION: die Region, die die Zone der Abfangbereitstellung enthält.PROJECT_ID: die ID des Google Cloud Projekts.DEPLOYMENT_GROUP_ID: die ID der Abfangbereitstellungsgruppe.
Terraform
Verwenden Sie die Ressource google_network_security_intercept_deployment, um eine Abfangbereitstellung zu erstellen.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Details einer Abfangbereitstellung ansehen
Sie können die Details einer Abfangbereitstellung ansehen, einschließlich Name, Weiterleitungsregel und Standort.
Console
Rufen Sie in der Google Cloud Console die Seite Bereitstellungsgruppen auf.
Klicken Sie auf den Namen der Bereitstellungsgruppe.
Klicken Sie auf den Namen der Bereitstellung.
gcloud
Verwenden Sie den gcloud
network-security intercept-deployments describe
Befehl, um Details zu einer Abfangbereitstellung aufzurufen:
gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
--location ZONE
Ersetzen Sie Folgendes:
DEPLOYMENT_ID: die ID der Abfangbereitstellung.ZONE: die Zone der Abfangbereitstellung.
In der Ausgabe wird der Name der Abfangbereitstellung im
projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID
Format angezeigt.
Abfangbereitstellungen auflisten
Sie können alle Abfangbereitstellungen in einem Projekt auflisten, einschließlich ihrer IDs und Standorte.
Console
Rufen Sie in der Google Cloud Console die Seite Bereitstellungsgruppen auf.
Klicken Sie auf den Namen der Bereitstellungsgruppe.
gcloud
Verwenden Sie den gcloud network-security
intercept-deployments list
Befehl, um Abfangbereitstellungen aufzulisten:
gcloud network-security intercept-deployments list \
[--location ZONE]
Wenn Sie Abfangbereitstellungen in einer bestimmten Zone sehen möchten, ersetzen Sie ZONE durch die Zone der Abfangbereitstellungen.
Diese Einstellung ist optional.
Abfangbereitstellung löschen
Sie können eine Abfangbereitstellung löschen, wenn sie von keiner Abfangbereitstellungsgruppe referenziert wird.
Console
Rufen Sie in der Google Cloud Console die Seite Bereitstellungsgruppen auf.
Klicken Sie auf den Namen der Abfangbereitstellungsgruppe.
Markieren Sie das Kästchen der Abfangbereitstellung und klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie den gcloud network-security
intercept-deployments delete
Befehl, um eine Abfangbereitstellung zu löschen:
gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
--no-async \
--location ZONE
Ersetzen Sie Folgendes:
DEPLOYMENT_ID: die ID der Abfangbereitstellung.ZONE: die Zone der Abfangbereitstellung.