建立及管理攔截部署作業

攔截部署作業是區域資源，會參照內部直通式網路負載平衡器的轉送規則，後者後端為封包檢查 VM。攔截部署項目代表供應商為可用區提供的檢查服務。

本頁說明如何建立及管理攔截部署作業。

事前準備

在專案中啟用 Network Security API。
安裝 gcloud CLI。
建立攔截部署作業群組。
請確認您有轉送規則，可將網路流量導向內部直通式網路負載平衡器，後者後端會提供封包檢查功能。詳情請參閱「設定生產者服務」。

角色

如要建立、查看或刪除攔截部署作業，您的 Identity and Access Management (IAM) 主體必須具備專案的必要 IAM 角色。詳情請參閱「管理專案、資料夾和機構的存取權」。

如要查看這個頁面列出的作業進度，您的 IAM 主體必須具備下列 Intercept Deployment Admin 角色 (roles/networksecurity.interceptDeploymentAdmin) 權限：

networksecurity.interceptDeployments.create
networksecurity.interceptDeployments.delete
networksecurity.interceptDeployments.get
networksecurity.interceptDeployments.list

建立攔截部署作業

建立攔截部署項目，代表區域內的供應商運算資源，並將其與現有的攔截部署項目群組建立關聯。

您可以在包含上層攔截部署項目群組的專案中，建立攔截部署項目。建議您在安全管理員擁有的專案中建立攔截部署作業。

這項工作需要的權限

如要執行這項工作，您必須擁有下列權限或組織的下列 IAM 角色。

權限

networksecurity.interceptDeployments.create

角色

攔截部署作業管理員角色 (networksecurity.interceptDeploymentAdmin)

控制台

前往 Google Cloud 控制台的「Deployment groups」(部署群組) 頁面。

前往「Deployment groups」(部署群組)
按一下要新增攔截部署作業的部署群組。
按一下「建立攔截部署作業」。
在「Name」部分輸入攔截部署項目的名稱。
在「Region」(區域) 和「Zone」(可用區) 部分，選取區域和可用區。
在「Internal load balancer」(內部負載平衡器) 中，選取內部直通式網路負載平衡器。
在「Forwarding rule」(轉送規則)，選取負載平衡器的 UDP 轉送規則。如果負載平衡器只有一項轉送規則，系統會預設選取該規則，並停用該欄位。

注意： 轉送規則的虛擬私有雲網路必須與攔截部署群組的網路相符。
點選「建立」。

gcloud

如要建立攔截部署作業，請使用 gcloud network-security intercept-deployments create 指令：

gcloud network-security intercept-deployments create DEPLOYMENT_ID \
    --location ZONE \
    --forwarding-rule FWD_RULE \
    --forwarding-rule-location REGION \
    --no-async \
    --intercept-deployment-group \
        projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID

更改下列內容：

DEPLOYMENT_ID：攔截部署作業的 ID。
ZONE：要建立攔截部署作業的可用區。
FWD_RULE：與攔截部署區域位於相同地區的內部直通式網路負載平衡器轉送規則。
REGION：包含攔截部署作業可用區的區域。
PROJECT_ID： Google Cloud 專案 ID。
DEPLOYMENT_GROUP_ID：攔截部署項目群組的 ID。

Terraform

如要建立攔截部署作業，可以使用 google_network_security_intercept_deployment 資源。

resource "google_network_security_intercept_deployment" "default" {
  intercept_deployment_id    = "intercept-deployment"
  location                   = "us-central1-a"
  forwarding_rule            = google_compute_forwarding_rule.default.id
  intercept_deployment_group = google_network_security_intercept_deployment_group.default.id
}

如要瞭解如何套用或移除 Terraform 設定，請參閱「基本 Terraform 指令」。

查看攔截部署作業的詳細資料

您可以查看攔截部署作業的詳細資料，包括名稱、轉送規則和位置。

這項工作需要的權限

如要執行這項工作，您必須擁有下列權限「或」專案的下列 IAM 角色。

權限

networksecurity.interceptDeployments.get

角色

攔截部署作業管理員角色 (networksecurity.interceptDeploymentAdmin)
攔截部署作業檢視者角色 (networksecurity.interceptDeploymentViewer)

控制台

前往 Google Cloud 控制台的「Deployment groups」(部署群組) 頁面。

前往「Deployment groups」(部署群組)
按一下部署群組的名稱。
按一下部署作業的名稱。

gcloud

如要查看攔截部署作業的詳細資料，請使用 gcloud network-security intercept-deployments describe 指令：

gcloud network-security intercept-deployments describe DEPLOYMENT_ID \
    --location ZONE

更改下列內容：

DEPLOYMENT_ID：攔截部署作業的 ID。
ZONE：攔截部署項目的可用區。

輸出內容會以 projects/PROJECT_ID/locations/ZONE/interceptDeployments/DEPLOYMENT_ID 格式顯示攔截部署作業的名稱。

列出攔截部署項目

您可以列出專案中的所有攔截部署作業，包括 ID 和位置。

這項工作需要的權限

如要執行這項工作，您必須擁有下列權限或組織的下列 IAM 角色。

權限

networksecurity.interceptDeployments.list

角色

攔截部署作業管理員角色 (networksecurity.interceptDeploymentAdmin)
攔截部署作業檢視者角色 (networksecurity.interceptDeploymentViewer)

控制台

前往 Google Cloud 控制台的「Deployment groups」(部署群組) 頁面。

前往「Deployment groups」(部署群組)
按一下部署群組的名稱。

gcloud

如要列出攔截部署作業，請使用 gcloud network-security intercept-deployments list 指令：

gcloud network-security intercept-deployments list \
    [--location ZONE]

如要查看特定區域的攔截部署作業，請以攔截部署作業的區域取代 ZONE。這項設定為選用項目。

刪除攔截部署作業

如果攔截部署項目未遭任何攔截部署項目群組參照，即可刪除。

這項工作需要的權限

如要執行這項工作，您必須擁有下列權限或組織的下列 IAM 角色。

權限

networksecurity.interceptDeployments.delete

角色

攔截部署作業管理員角色 (networksecurity.interceptDeploymentAdmin)

控制台

前往 Google Cloud 控制台的「Deployment groups」(部署群組) 頁面。

前往「Deployment groups」(部署群組)
按一下攔截部署項目群組的名稱。
勾選攔截部署作業的核取方塊，然後按一下「刪除」。
再按一下 [刪除] 加以確認。

gcloud

如要刪除攔截部署作業，請使用 gcloud network-security intercept-deployments delete 指令：

gcloud network-security intercept-deployments delete DEPLOYMENT_ID \
    --no-async \
    --location ZONE

更改下列內容：

DEPLOYMENT_ID：攔截部署作業的 ID。
ZONE：攔截部署項目的可用區。

建立及管理攔截部署作業 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

事前準備

角色

建立攔截部署作業

這項工作需要的權限

控制台

gcloud

Terraform

查看攔截部署作業的詳細資料

這項工作需要的權限

控制台

gcloud

列出攔截部署項目

這項工作需要的權限

控制台

gcloud

刪除攔截部署作業

這項工作需要的權限

控制台

gcloud

建立及管理攔截部署作業