Un déploiement d'interception est une ressource zonale qui fait référence à la règle de transfert d'un équilibreur de charge réseau passthrough interne dont les backends sont des VM d'inspection des paquets. Un déploiement d'interception représente l'offre de service d'inspection du producteur pour une zone.
Cette page explique comment créer et gérer des déploiements d'interception.
Avant de commencer
- Activez l'API Network Security dans votre projet.
- Installer gcloud CLI
- Créez un groupe de déploiement d'interception.
- Assurez-vous de disposer d'une règle de transfert qui dirige le trafic réseau vers l'équilibreur de charge réseau passthrough interne dont les backends assurent l'inspection des paquets. Pour en savoir plus, consultez Configurer les services de production.
Rôles
Pour créer, afficher ou supprimer des déploiements d'interception, votre principal Identity and Access Management (IAM) doit disposer des rôles IAM nécessaires dans votre projet. Pour en savoir plus, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Pour vérifier la progression des opérations listées sur cette page, votre compte principal IAM doit disposer des autorisations du rôle Administrateur du déploiement d'interception (roles/networksecurity.interceptDeploymentAdmin) :
networksecurity.interceptDeployments.createnetworksecurity.interceptDeployments.deletenetworksecurity.interceptDeployments.getnetworksecurity.interceptDeployments.list
Créer un déploiement d'interception
Créez un déploiement d'interception pour représenter les ressources de calcul du producteur dans une zone et associez-le à un groupe de déploiement d'interception existant.
Vous pouvez créer les déploiements d'interception dans le même projet que celui qui contient le groupe de déploiement d'interception parent. Nous vous recommandons de créer le déploiement d'interception dans un projet appartenant à votre administrateur de la sécurité.
Console
Dans la console Google Cloud , accédez à la page Groupes de déploiement.
Cliquez sur le groupe de déploiement auquel vous souhaitez ajouter le déploiement d'interception.
Cliquez sur Créer un déploiement d'interception.
Dans le champ Nom, saisissez le nom du déploiement de l'interception.
Pour Région et Zone, sélectionnez votre région et votre zone.
Pour Équilibreur de charge interne, sélectionnez l'équilibreur de charge réseau passthrough interne.
Pour Règle de transfert, sélectionnez la règle de transfert UDP de l'équilibreur de charge. Si l'équilibreur de charge ne comporte qu'une seule règle de transfert, il est sélectionné par défaut et le champ est désactivé.
Cliquez sur Créer.
gcloud
Pour créer un déploiement d'interception, utilisez la commande gcloud network-security
intercept-deployments create :
gcloud network-security intercept-deployments create DEPLOYMENT_ID \
--location ZONE \
--forwarding-rule FWD_RULE \
--forwarding-rule-location REGION \
--no-async \
--intercept-deployment-group \
projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID
Remplacez les éléments suivants :
DEPLOYMENT_ID: ID du déploiement de l'interception.ZONE: zone dans laquelle vous souhaitez créer le déploiement d'interception.FWD_RULE: règle de transfert d'un équilibreur de charge réseau passthrough interne dans la même région que la zone du déploiement d'interception.REGION: région qui contient la zone du déploiement d'interception.PROJECT_ID: ID du projet Google Cloud .DEPLOYMENT_GROUP_ID: ID du groupe de déploiement d'interception.
Terraform
Pour créer un déploiement d'interception, vous pouvez utiliser une ressource google_network_security_intercept_deployment.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.
Afficher les détails d'un déploiement d'interception
Vous pouvez afficher les détails d'un déploiement d'interception, y compris son nom, sa règle de transfert et son emplacement.
Console
Dans la console Google Cloud , accédez à la page Groupes de déploiement.
Cliquez sur le nom du groupe de déploiement.
Cliquez sur le nom du déploiement.
gcloud
Pour afficher les détails d'un déploiement d'interception, utilisez la commande gcloud
network-security intercept-deployments describe :
gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
--location ZONE
Remplacez les éléments suivants :
DEPLOYMENT_ID: ID du déploiement de l'interception.ZONE: zone du déploiement d'interception.
Dans le résultat, le nom du déploiement d'interception s'affiche au format projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID.
Lister les déploiements d'interception
Vous pouvez lister tous les déploiements d'interception d'un projet, y compris leurs ID et leurs emplacements.
Console
Dans la console Google Cloud , accédez à la page Groupes de déploiement.
Cliquez sur le nom du groupe de déploiement.
gcloud
Pour lister les déploiements d'interception, utilisez la commande gcloud network-security
intercept-deployments list :
gcloud network-security intercept-deployments list \
[--location ZONE]
Pour afficher les déploiements d'interception dans une zone spécifique, remplacez ZONE par la zone des déploiements d'interception.
Ce paramètre est facultatif.
Supprimer un déploiement d'interception
Vous pouvez supprimer un déploiement d'interception s'il n'est référencé par aucun groupe de déploiement d'interception.
Console
Dans la console Google Cloud , accédez à la page Groupes de déploiement.
Cliquez sur le nom du groupe de déploiement d'interception.
Cochez la case correspondant au déploiement de l'interception, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer un déploiement d'interception, utilisez la commande gcloud network-security
intercept-deployments delete :
gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
--no-async \
--location ZONE
Remplacez les éléments suivants :
DEPLOYMENT_ID: ID du déploiement de l'interception.ZONE: zone du déploiement d'interception.