Un deployment di intercettazione è una risorsa di zona che fa riferimento alla regola di forwarding di un bilanciatore del carico di rete passthrough interno i cui backend sono VM di ispezione dei pacchetti. Un deployment di intercettazione rappresenta l'offerta di servizi di ispezione del producer per una zona.
Questa pagina descrive come creare e gestire i deployment di intercettazione.
Prima di iniziare
- Abilita l' API Network Security nel tuo progetto.
- Installa la gcloud CLI.
- Crea un gruppo di deployment di intercettazione.
- Assicurati di avere una regola di forwarding che indirizzi il traffico di rete al bilanciatore del carico di rete passthrough interno i cui backend forniscono l'ispezione dei pacchetti. Per saperne di più, consulta Configurare i servizi del producer.
Ruoli
Per creare, visualizzare o eliminare i deployment di intercettazione, l'entità Identity and Access Management (IAM) deve disporre dei ruoli IAM necessari per il progetto. Per saperne di più, consulta Gestire l'accesso a progetti, cartelle, e organizzazioni.
Per controllare l'avanzamento delle operazioni elencate in questa pagina, l'entità
IAM deve disporre delle seguenti autorizzazioni del ruolo Amministratore deployment di intercettazione
(roles/networksecurity.interceptDeploymentAdmin):
networksecurity.interceptDeployments.createnetworksecurity.interceptDeployments.deletenetworksecurity.interceptDeployments.getnetworksecurity.interceptDeployments.list
Creare un deployment di intercettazione
Crea un deployment di intercettazione per rappresentare le risorse di calcolo del producer all'interno di una zona e associarlo a un gruppo di deployment di intercettazione esistente.
Puoi creare i deployment di intercettazione nello stesso progetto che contiene il gruppo di deployment di intercettazione principale. Ti consigliamo di creare il deployment di intercettazione in un progetto di proprietà dell'amministratore della sicurezza.
Console
Nellaconsole, vai alla pagina Gruppi di deployment. Google Cloud
Fai clic sul gruppo di deployment a cui vuoi aggiungere il deployment di intercettazione.
Fai clic su Crea deployment di intercettazione.
In Nome, inserisci un nome per il deployment di intercettazione.
In Regione e Zona, seleziona la regione e la zona.
In Bilanciatore del carico interno, seleziona il bilanciatore del carico di rete passthrough interno.
In Regola di forwarding, seleziona la regola di forwarding UDP del bilanciatore del carico. Se il bilanciatore del carico ha una sola regola di forwarding, questa viene selezionata per impostazione predefinita e il campo è disattivato.
Fai clic su Crea.
gcloud
Per creare un deployment di intercettazione, utilizza il gcloud network-security
intercept-deployments create
comando:
gcloud network-security intercept-deployments create DEPLOYMENT_ID \
--location ZONE \
--forwarding-rule FWD_RULE \
--forwarding-rule-location REGION \
--no-async \
--intercept-deployment-group \
projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID
Sostituisci quanto segue:
DEPLOYMENT_ID: l'ID del deployment di intercettazione.ZONE: la zona in cui vuoi creare il deployment di intercettazione.FWD_RULE: la regola di forwarding di un bilanciatore del carico di rete passthrough interno nella stessa regione della zona del deployment di intercettazione.REGION: la regione che contiene la zona del deployment di intercettazione.PROJECT_ID: l'ID del Google Cloud progetto.DEPLOYMENT_GROUP_ID: l'ID del gruppo di deployment di intercettazione.
Terraform
Per creare un deployment di intercettazione, puoi utilizzare una google_network_security_intercept_deployment risorsa.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
Visualizzare i dettagli di un deployment di intercettazione
Puoi visualizzare i dettagli di un deployment di intercettazione, inclusi il nome, la regola di forwarding e la località.
Console
Nellaconsole, vai alla pagina Gruppi di deployment. Google Cloud
Fai clic sul nome del gruppo di deployment.
Fai clic sul nome del deployment.
gcloud
Per visualizzare i dettagli di un deployment di intercettazione, utilizza il gcloud
network-security intercept-deployments describe
comando:
gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
--location ZONE
Sostituisci quanto segue:
DEPLOYMENT_ID: l'ID del deployment di intercettazione.ZONE: la zona del deployment di intercettazione.
Nell'output, il nome del deployment di intercettazione viene visualizzato nel
projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID
formato.
Elencare i deployment di intercettazione
Puoi elencare tutti i deployment di intercettazione in un progetto, inclusi i relativi ID e località.
Console
Nellaconsole, vai alla pagina Gruppi di deployment. Google Cloud
Fai clic sul nome del gruppo di deployment.
gcloud
Per elencare i deployment di intercettazione, utilizza il gcloud network-security
intercept-deployments list
comando:
gcloud network-security intercept-deployments list \
[--location ZONE]
Per visualizzare i deployment di intercettazione in una zona specifica, sostituisci ZONE con la zona dei deployment di intercettazione.
Questa impostazione è facoltativa.
Eliminare un deployment di intercettazione
Puoi eliminare un deployment di intercettazione se non viene fatto riferimento a nessun gruppo di deployment di intercettazione.
Console
Nellaconsole, vai alla pagina Gruppi di deployment. Google Cloud
Fai clic sul nome del gruppo di deployment di intercettazione.
Seleziona la casella di controllo del deployment di intercettazione e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un deployment di intercettazione, utilizza il gcloud network-security
intercept-deployments delete
comando:
gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
--no-async \
--location ZONE
Sostituisci quanto segue:
DEPLOYMENT_ID: l'ID del deployment di intercettazione.ZONE: la zona del deployment di intercettazione.