インターセプト デプロイを作成して管理する

インターセプト デプロイ は、バックエンドがパケット検査 VM である 内部パススルー ネットワーク ロードバランサの転送ルールを参照するゾーンリソースです。インターセプト デプロイは、ゾーンに対するプロデューサーの検査サービスを表します。

このページでは、インターセプト デプロイを作成して管理する方法について説明します。

始める前に

ロール

インターセプト デプロイを作成、表示、削除するには、Identity and Access Management(IAM) プリンシパルにプロジェクトに対する必要な IAM ロール が付与されている必要があります。詳細については、プロジェクト、フォルダ、 組織へのアクセスを管理するをご覧ください。

このページに記載されているオペレーションの進行状況を確認するには、IAM プリンシパルに次のインターセプト デプロイ管理者 ロールroles/networksecurity.interceptDeploymentAdmin)権限が必要です。

  • networksecurity.interceptDeployments.create
  • networksecurity.interceptDeployments.delete
  • networksecurity.interceptDeployments.get
  • networksecurity.interceptDeployments.list

インターセプト デプロイを作成する

インターセプト デプロイを作成して、ゾーン内のプロデューサーのコンピューティング リソースを表し、既存のインターセプト デプロイ グループに関連付けます。

インターセプト デプロイは、親インターセプト デプロイ グループを含む同じプロジェクトに作成できます。セキュリティ管理者が所有するプロジェクトにインターセプト デプロイを作成することをおすすめします。

コンソール

  1. コンソールで、[**デプロイ グループ**] ページに移動します。 Google Cloud

    [デプロイ グループ] に移動

  2. インターセプト デプロイを追加するデプロイ グループをクリックします。

  3. [インターセプト デプロイを作成] をクリックします。

  4. [名前] に、インターセプト デプロイの名前を入力します。

  5. [リージョン] と [ゾーン] で、リージョンとゾーンを選択します。

  6. [内部ロードバランサ] で、内部パススルー ネットワーク ロードバランサを選択します。

  7. [**転送ルール**] で、ロード バランサの UDP 転送ルールを選択します。ロードバランサに転送ルールが 1 つしかない場合は、デフォルトで選択され、フィールドが無効になります。

  8. [作成] をクリックします。

gcloud

インターセプト デプロイを作成するには、gcloud network-security intercept-deployments create コマンドを使用します。

gcloud network-security intercept-deployments create DEPLOYMENT_ID \
    --location ZONE \
    --forwarding-rule FWD_RULE \
    --forwarding-rule-location REGION \
    --no-async \
    --intercept-deployment-group \
        projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID

次のように置き換えます。

  • DEPLOYMENT_ID: インターセプト デプロイの ID。
  • ZONE: インターセプト デプロイを作成するゾーン。
  • FWD_RULE: インターセプト デプロイのゾーンと同じリージョンにある内部パススルー ネットワーク ロードバランサの転送ルール。
  • REGION: インターセプト デプロイのゾーンを含むリージョン。
  • PROJECT_ID: プロジェクトの ID Google Cloud
  • DEPLOYMENT_GROUP_ID: インターセプト デプロイ グループの ID。

Terraform

インターセプト デプロイを作成するには、google_network_security_intercept_deployment リソースを使用します。

resource "google_network_security_intercept_deployment" "default" {
  intercept_deployment_id    = "intercept-deployment"
  location                   = "us-central1-a"
  forwarding_rule            = google_compute_forwarding_rule.default.id
  intercept_deployment_group = google_network_security_intercept_deployment_group.default.id
}

Terraform 構成を適用または削除する方法については、 基本的な Terraform コマンドをご覧ください。

インターセプト デプロイの詳細を表示する

インターセプト デプロイの詳細(名前、転送ルール、ロケーションなど)を表示できます。

コンソール

  1. コンソールで、[**デプロイ グループ**] ページに移動します。 Google Cloud

    [デプロイ グループ] に移動

  2. デプロイ グループの名前をクリックします。

  3. デプロイの名前をクリックします。

gcloud

インターセプト デプロイの詳細を表示するには、gcloud network-security intercept-deployments describe コマンドを使用します。

gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
    --location ZONE

次のように置き換えます。

  • DEPLOYMENT_ID: インターセプト デプロイの ID。
  • ZONE: インターセプト デプロイのゾーン。

出力では、インターセプト デプロイの名前が projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID 形式で表示されます。

インターセプト デプロイを一覧表示する

プロジェクト内のすべてのインターセプト デプロイを、ID とロケーションとともに一覧表示できます。

コンソール

  1. コンソールで、[**デプロイ グループ**] ページに移動します。 Google Cloud

    [デプロイ グループ] に移動

  2. デプロイ グループの名前をクリックします。

gcloud

インターセプト デプロイを一覧表示するには、gcloud network-security intercept-deployments list コマンドを使用します。

gcloud network-security intercept-deployments list \
    [--location ZONE]

特定のゾーンのインターセプト デプロイを表示するには、ZONE をインターセプト デプロイのゾーンに置き換えます。 この設定は省略可能です。

インターセプト デプロイを削除する

インターセプト デプロイ グループで参照されていない場合は、インターセプト デプロイを削除できます。

コンソール

  1. コンソールで、[**デプロイ グループ**] ページに移動します。 Google Cloud

    [デプロイ グループ] に移動

  2. インターセプト デプロイ グループの名前をクリックします。

  3. インターセプト デプロイのチェックボックスをオンにして、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

インターセプト デプロイを削除するには、gcloud network-security intercept-deployments delete コマンドを使用します。

gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
    --no-async \
    --location ZONE

次のように置き換えます。

  • DEPLOYMENT_ID: インターセプト デプロイの ID。
  • ZONE: インターセプト デプロイのゾーン。