创建和管理拦截端点组

拦截端点组是一种全球性资源,您可以在组织中跨不同项目的多个 VPC 网络中使用它。您可以创建拦截端点组,以允许使用方访问提供方的拦截部署组。 每个拦截端点组都与一个拦截部署组相关联。

本页介绍了如何创建和管理拦截端点组。

准备工作

角色

如需创建、查看或删除拦截端点组,请让您的管理员向您授予 Google Cloud 项目的必要 Identity and Access Management (IAM) 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

如需检查本页面上列出的操作的进度,请确保您的用户角色拥有 Intercept Endpoint Admin (roles/networksecurity.interceptEndpointAdmin) 和 Intercept Deployment User (roles/networksecurity.interceptDeploymentUser) 角色和权限。

您需要在生产方项目上拥有 Intercept Deployment User 角色 (roles/networksecurity.interceptDeploymentUser),才能将使用方的拦截端点组连接到生产方的拦截部署组。

创建拦截端点组

创建拦截端点组并将其与生产方的拦截部署组相关联。

我们建议您在安全管理员拥有的项目中创建拦截端点组。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 点击创建端点组

  3. 对于名称,请输入拦截端点组的名称。

  4. 对于部署组,请选择以下任一选项:

    • 选择项目:如果您知道拦截部署组所在的项目名称,请选择此选项。

    • 选择当前项目:如果拦截部署组位于同一项目中,请选择此选项。

      如果您选择此选项,请指定拦截部署组的名称。

    • 手动输入部署群组:如果拦截部署群组位于其他项目中,请选择此选项。

      如果您选择此选项,请指定项目 ID 和拦截部署组的名称。

  5. 点击继续

  6. 可选:点击添加端点组关联

    指定项目名称和托管拦截部署组的 VPC 网络的名称,然后点击完成

  7. 点击创建

gcloud

如需创建拦截端点组,请使用 gcloud network-security intercept-endpoint-groups create 命令

gcloud network-security intercept-endpoint-groups create ENDPOINT_GROUP_ID \
    --location global \
    --no-async \
    --intercept-deployment-group \
        projects/DEPLOYMENT_GROUP_PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID

替换以下内容:

  • ENDPOINT_GROUP_ID:拦截端点组的 ID。
  • DEPLOYMENT_GROUP_PROJECT_ID:您在其中创建了拦截部署组的Google Cloud 项目的 ID。
  • DEPLOYMENT_GROUP_ID:拦截部署组的 ID。

如需将拦截端点组与 VPC 网络关联,请参阅创建和管理拦截端点组关联

Terraform

如需创建拦截端点组,您可以使用 google_network_security_intercept_endpoint_group 资源

resource "google_network_security_intercept_endpoint_group" "default" {
  intercept_endpoint_group_id = "intercept-endpoint-group"
  location                    = "global"
  intercept_deployment_group  = google_network_security_intercept_deployment_group.default.id
}

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

查看拦截端点组的详细信息

您可以查看拦截端点组的详细信息,例如其名称和拦截部署组。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 点击拦截端点组的名称。

gcloud

如需查看拦截端点组的详细信息,请使用 gcloud network-security intercept-endpoint-groups describe 命令

gcloud network-security intercept-endpoint-groups describe ENDPOINT_GROUP_ID \
    --location global

ENDPOINT_GROUP_ID 替换为拦截端点组的 ID。

在输出中,拦截端点组的名称以 projects/PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID 格式显示。

列出拦截端点组

您可以列出项目中的所有拦截端点组,包括其 ID。

控制台

如需查看项目的所有拦截端点组,请在Google Cloud 控制台中前往端点组页面。

gcloud

如需列出所有拦截端点组,请使用 gcloud network-security intercept-endpoint-groups list 命令

gcloud network-security intercept-endpoint-groups list \
    --location global

删除拦截端点组

在删除拦截端点组之前,请先从所有 VPC 网络中移除其拦截端点组关联

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 选中拦截端点组的复选框,然后点击删除

  3. 再次点击删除进行确认。

gcloud

如需删除拦截端点组,请使用 gcloud network-security intercept-endpoint-groups delete 命令

gcloud network-security intercept-endpoint-groups delete ENDPOINT_GROUP_ID
    --no-async \
    --location global

将以下 ENDPOINT_GROUP_ID 替换为拦截端点组的 ID。

后续步骤