Un deployment di intercettazioneè una risorsa di zona che fa riferimento alla regola di forwarding di un bilanciatore del carico di rete passthrough interno i cui backend sono VM di ispezione dei pacchetti. Un deployment di intercettazione rappresenta l'offerta di servizi di ispezione del producer per una zona.
Questa pagina descrive come creare e gestire le implementazioni di intercettazione.
Prima di iniziare
- Abilita l'API Network Security nel tuo progetto.
- Installa gcloud CLI.
- Crea un gruppo di deployment di intercettazione.
- Assicurati di avere una regola di forwarding che indirizzi il traffico di rete al bilanciatore del carico di rete passthrough interno i cui backend forniscono l'ispezione dei pacchetti. Per saperne di più, vedi Configurare i servizi del produttore.
Ruoli
Per creare, visualizzare o eliminare le implementazioni di intercettazione, l'entità IAM (Identity and Access Management) deve disporre dei ruoli IAM necessari per il tuo progetto. Per saperne di più, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Per controllare l'avanzamento delle operazioni elencate in questa pagina, la tua entità IAM deve disporre delle seguenti autorizzazioni del ruolo Amministratore intercettazione deployment
(roles/networksecurity.interceptDeploymentAdmin):
networksecurity.interceptDeployments.createnetworksecurity.interceptDeployments.deletenetworksecurity.interceptDeployments.getnetworksecurity.interceptDeployments.list
Crea un deployment di intercettazione
Crea un deployment di intercettazione per rappresentare le risorse di calcolo del producer all'interno di una zona e associarlo a un gruppo di deployment di intercettazione esistente.
Puoi creare i deployment di intercettazione nello stesso progetto che contiene il gruppo di deployment di intercettazione principale. Ti consigliamo di creare il deployment dell'intercettazione in un progetto di proprietà dell'amministratore della sicurezza.
Console
Nella console Google Cloud , vai alla pagina Gruppi di deployment.
Fai clic sul gruppo di deployment in cui vuoi aggiungere il deployment dell'intercettazione.
Fai clic su Crea deployment di intercettazione.
In Name (Nome), inserisci un nome per il deployment dell'intercettazione.
Per Regione e Zona, seleziona la regione e la zona.
In Bilanciatore del carico interno, seleziona il bilanciatore del carico di rete passthrough interno.
Per Regola di forwarding, seleziona la regola di forwarding UDP del bilanciatore del carico. Se il bilanciatore del carico ha una sola regola di forwarding, questa viene selezionata per impostazione predefinita e il campo è disattivato.
Fai clic su Crea.
gcloud
Per creare un deployment di intercettazione, utilizza il comando gcloud network-security
intercept-deployments create:
gcloud network-security intercept-deployments create DEPLOYMENT_ID \
--location ZONE \
--forwarding-rule FWD_RULE \
--forwarding-rule-location REGION \
--no-async \
--intercept-deployment-group \
projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID
Sostituisci quanto segue:
DEPLOYMENT_ID: l'ID del deployment dell'intercettazione.ZONE: la zona in cui vuoi creare il deployment di intercettazione.FWD_RULE: la regola di forwarding di un bilanciatore del carico di rete passthrough interno nella stessa regione della zona del deployment di intercettazione.REGION: la regione che contiene la zona del deployment dell'intercettazione.PROJECT_ID: l'ID del Google Cloud progetto.DEPLOYMENT_GROUP_ID: l'ID del gruppo di deployment dell'intercettazione.
Terraform
Per creare un deployment di intercettazione, puoi utilizzare una risorsa google_network_security_intercept_deployment.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
Visualizzare i dettagli di un deployment di intercettazione
Puoi visualizzare i dettagli di un deployment di intercettazione, inclusi il nome, la regola di forwardingo e la posizione.
Console
Nella console Google Cloud , vai alla pagina Gruppi di deployment.
Fai clic sul nome del gruppo di deployment.
Fai clic sul nome del deployment.
gcloud
Per visualizzare i dettagli di un deployment di intercettazione, utilizza il comando gcloud
network-security intercept-deployments describe:
gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
--location ZONE
Sostituisci quanto segue:
DEPLOYMENT_ID: l'ID del deployment dell'intercettazione.ZONE: la zona del deployment dell'intercettazione.
Nell'output, il nome del deployment dell'intercettazione viene visualizzato nel formato
projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID.
Elenca deployment di intercettazione
Puoi elencare tutti i deployment di intercettazione in un progetto, inclusi i relativi ID e le relative posizioni.
Console
Nella console Google Cloud , vai alla pagina Gruppi di deployment.
Fai clic sul nome del gruppo di deployment.
gcloud
Per elencare i deployment di intercettazione, utilizza il comando
gcloud network-security
intercept-deployments list:
gcloud network-security intercept-deployments list \
[--location ZONE]
Per visualizzare i deployment di intercettazione in una zona specifica, sostituisci
ZONE con la zona dei deployment di intercettazione.
Questa impostazione è facoltativa.
Elimina un deployment di intercettazione
Puoi eliminare un deployment di intercettazione se non viene fatto riferimento a nessun gruppo di deployment di intercettazione.
Console
Nella console Google Cloud , vai alla pagina Gruppi di deployment.
Fai clic sul nome del gruppo di deployment di intercettazione.
Seleziona la casella di controllo del deployment dell'intercettazione e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un deployment di intercettazione, utilizza il comando gcloud network-security
intercept-deployments delete:
gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
--no-async \
--location ZONE
Sostituisci quanto segue:
DEPLOYMENT_ID: l'ID del deployment dell'intercettazione.ZONE: la zona del deployment dell'intercettazione.