创建和管理拦截部署

拦截部署是一种可用区级资源,用于引用内部直通式网络负载平衡器的转发规则,该负载平衡器的后端是数据包检查虚拟机。拦截部署表示提供方针对某个可用区的检查服务产品。

本页面介绍了如何创建和管理拦截部署。

准备工作

角色

如需创建、查看或删除拦截部署,您的 Identity and Access Management (IAM) 主账号必须拥有项目的必要 IAM 角色。如需了解详情,请参阅管理对项目、文件夹和组织的访问权限

如需检查本页面中列出的操作的进度,您的 IAM 主账号必须拥有以下 Intercept Deployment Admin 角色 (roles/networksecurity.interceptDeploymentAdmin) 权限:

  • networksecurity.interceptDeployments.create
  • networksecurity.interceptDeployments.delete
  • networksecurity.interceptDeployments.get
  • networksecurity.interceptDeployments.list

创建拦截部署

创建拦截部署以表示提供方在可用区内的计算资源,并将其与现有的拦截部署组相关联。

您可以在包含父拦截部署群组的同一项目中创建拦截部署。我们建议您在安全管理员拥有的项目中创建拦截部署。

控制台

  1. 在 Google Cloud 控制台中,前往部署组页面。

    前往“部署组”

  2. 点击要添加拦截部署的部署组。

  3. 点击创建拦截部署

  4. 名称字段中,输入拦截部署的名称。

  5. 区域可用区中,选择您的区域和可用区。

  6. 对于内部负载均衡器,请选择内部直通式网络负载均衡器。

  7. 转发规则字段中,选择负载平衡器的 UDP 转发规则。如果负载均衡器只有一条转发规则,系统会默认选择该规则,并且相应字段处于停用状态。

  8. 点击创建

gcloud

如需创建拦截部署,请使用 gcloud network-security intercept-deployments create 命令

gcloud network-security intercept-deployments create DEPLOYMENT_ID \
    --location ZONE \
    --forwarding-rule FWD_RULE \
    --forwarding-rule-location REGION \
    --no-async \
    --intercept-deployment-group \
        projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID

替换以下内容:

  • DEPLOYMENT_ID:拦截部署的 ID。
  • ZONE:您希望创建拦截部署的可用区。
  • FWD_RULE:与拦截部署的可用区位于同一区域的内部直通式网络负载平衡器的转发规则。
  • REGION:包含拦截部署的可用区的区域。
  • PROJECT_ID: Google Cloud 项目的 ID。
  • DEPLOYMENT_GROUP_ID:拦截部署组的 ID。

Terraform

如需创建拦截部署,您可以使用 google_network_security_intercept_deployment 资源

resource "google_network_security_intercept_deployment" "default" {
  intercept_deployment_id    = "intercept-deployment"
  location                   = "us-central1-a"
  forwarding_rule            = google_compute_forwarding_rule.default.id
  intercept_deployment_group = google_network_security_intercept_deployment_group.default.id
}

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

查看拦截部署的详细信息

您可以查看拦截部署的详细信息,包括其名称、转发规则和位置。

控制台

  1. 在 Google Cloud 控制台中,前往部署组页面。

    前往“部署组”

  2. 点击部署组的名称。

  3. 点击相应部署的名称。

gcloud

如需查看拦截部署的详细信息,请使用 gcloud network-security intercept-deployments describe 命令

gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
    --location ZONE

替换以下内容:

  • DEPLOYMENT_ID:拦截部署的 ID。
  • ZONE:拦截部署的可用区。

在输出中,拦截部署的名称以 projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID 格式显示。

列出拦截部署

您可以列出项目中的所有拦截部署,包括其 ID 和位置。

控制台

  1. 在 Google Cloud 控制台中,前往部署组页面。

    前往“部署组”

  2. 点击部署组的名称。

gcloud

如需列出拦截部署,请使用 gcloud network-security intercept-deployments list 命令

gcloud network-security intercept-deployments list \
    [--location ZONE]

如需查看特定区域中的拦截部署,请将 ZONE 替换为拦截部署所在的区域。 此设置是可选的。

删除拦截部署

如果拦截部署未被任何拦截部署组引用,您可以将其删除。

控制台

  1. 在 Google Cloud 控制台中,前往部署组页面。

    前往“部署组”

  2. 点击拦截部署群组的名称。

  3. 选中拦截部署对应的复选框,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除拦截部署,请使用 gcloud network-security intercept-deployments delete 命令

gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
    --no-async \
    --location ZONE

替换以下内容:

  • DEPLOYMENT_ID:拦截部署的 ID。
  • ZONE:拦截部署的可用区。