Eine Intercept-Bereitstellung ist eine zonale Ressource, die auf die Weiterleitungsregel eines internen Passthrough-Network Load Balancers verweist, dessen Back-Ends Paketprüfungs-VMs sind. Eine Abfangbereitstellung stellt das Inspektionsdienstangebot des Erstellers für eine Zone dar.
Auf dieser Seite wird beschrieben, wie Sie Intercept-Bereitstellungen erstellen und verwalten.
Hinweise
- Aktivieren Sie die Network Security API in Ihrem Projekt.
- Installieren Sie die gcloud CLI.
- Abfangbereitstellungsgruppe erstellen
- Achten Sie darauf, dass Sie eine Weiterleitungsregel haben, die den Netzwerk-Traffic an den internen Passthrough-Network Load Balancer weiterleitet, dessen Backends die Paketprüfung durchführen. Weitere Informationen finden Sie unter Produktionsdienste einrichten.
Rollen
Wenn Sie Intercept-Bereitstellungen erstellen, ansehen oder löschen möchten, muss Ihr IAM-Principal (Identity and Access Management) die erforderlichen IAM-Rollen für Ihr Projekt haben. Weitere Informationen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihr IAM-Hauptkonto die folgenden Berechtigungen der Intercept Deployment Admin-Rolle (roles/networksecurity.interceptDeploymentAdmin) haben:
networksecurity.interceptDeployments.createnetworksecurity.interceptDeployments.deletenetworksecurity.interceptDeployments.getnetworksecurity.interceptDeployments.list
Abfangbereitstellung erstellen
Erstellen Sie eine Abfangbereitstellung, um die Rechenressourcen des Erstellers in einer Zone darzustellen, und verknüpfen Sie sie mit einer vorhandenen Abfangbereitstellungsgruppe.
Sie können die Abfangbereitstellungen im selben Projekt erstellen, das die übergeordnete Abfangbereitstellungsgruppe enthält. Wir empfehlen, die Abfangbereitstellung in einem Projekt zu erstellen, das Ihrem Sicherheitsadministrator gehört.
Console
Rufen Sie in der Google Cloud -Console die Seite Bereitstellungsgruppen auf.
Klicken Sie auf die Bereitstellungsgruppe, der Sie die Intercept-Bereitstellung hinzufügen möchten.
Klicken Sie auf Abfangbereitstellung erstellen.
Geben Sie unter Name einen Namen für die Abfangbereitstellung ein.
Wählen Sie für Region und Zone Ihre Region und Zone aus.
Wählen Sie für Interner Load Balancer den internen Passthrough-Network Load Balancer aus.
Wählen Sie unter Weiterleitungsregel die UDP-Weiterleitungsregel des Load-Balancers aus. Wenn der Load Balancer nur eine Weiterleitungsregel hat, ist sie standardmäßig ausgewählt und das Feld ist deaktiviert.
Klicken Sie auf Erstellen.
gcloud
Verwenden Sie zum Erstellen eines Intercept-Deployments den Befehl gcloud network-security
intercept-deployments create:
gcloud network-security intercept-deployments create DEPLOYMENT_ID \
--location ZONE \
--forwarding-rule FWD_RULE \
--forwarding-rule-location REGION \
--no-async \
--intercept-deployment-group \
projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID
Ersetzen Sie Folgendes:
DEPLOYMENT_ID: Die ID des Intercept-Deployments.ZONE: die Zone, in der Sie die Abfangbereitstellung erstellen möchten.FWD_RULE: die Weiterleitungsregel eines internen Passthrough-Network Load Balancers in derselben Region wie die Zone der Abfangbereitstellung.REGION: die Region, die die Zone der Abfangbereitstellung enthält.PROJECT_ID: die ID des Google Cloud -Projekts.DEPLOYMENT_GROUP_ID: Die ID der Gruppe für die Bereitstellung von Intercepts.
Terraform
Zum Erstellen einer Intercept-Bereitstellung können Sie eine google_network_security_intercept_deployment-Ressource verwenden.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Details einer Abfangbereitstellung ansehen
Sie können die Details einer Abfangbereitstellung aufrufen, einschließlich des Namens, der Weiterleitungsregel und des Standorts.
Console
Rufen Sie in der Google Cloud -Console die Seite Bereitstellungsgruppen auf.
Klicken Sie auf den Namen der Bereitstellungsgruppe.
Klicken Sie auf den Namen des Deployments.
gcloud
Verwenden Sie den Befehl gcloud
network-security intercept-deployments describe, um Details zu einer Intercept-Bereitstellung aufzurufen:
gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
--location ZONE
Ersetzen Sie Folgendes:
DEPLOYMENT_ID: Die ID des Intercept-Deployments.ZONE: die Zone der Abfangbereitstellung.
In der Ausgabe wird der Name der Intercept-Bereitstellung im Format projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID angezeigt.
Abfangbereitstellungen auflisten
Sie können alle Intercept-Bereitstellungen in einem Projekt auflisten, einschließlich ihrer IDs und Standorte.
Console
Rufen Sie in der Google Cloud -Console die Seite Bereitstellungsgruppen auf.
Klicken Sie auf den Namen der Bereitstellungsgruppe.
gcloud
Verwenden Sie den Befehl gcloud network-security
intercept-deployments list, um Abfangbereitstellungen aufzulisten:
gcloud network-security intercept-deployments list \
[--location ZONE]
Wenn Sie die Bereitstellungen von Unterbrechungen in einer bestimmten Zone aufrufen möchten, ersetzen Sie ZONE durch die Zone der Bereitstellungen von Unterbrechungen.
Diese Einstellung ist optional.
Abfangbereitstellung löschen
Sie können eine Abfangbereitstellung löschen, wenn sie von keiner Abfangbereitstellungsgruppe referenziert wird.
Console
Rufen Sie in der Google Cloud -Console die Seite Bereitstellungsgruppen auf.
Klicken Sie auf den Namen der Abfangbereitstellungsgruppe.
Markieren Sie das Kästchen für die Abfangbereitstellung und klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie den Befehl gcloud network-security
intercept-deployments delete, um ein Intercept-Deployment zu löschen:
gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
--no-async \
--location ZONE
Ersetzen Sie Folgendes:
DEPLOYMENT_ID: Die ID des Intercept-Deployments.ZONE: die Zone der Abfangbereitstellung.