建立及管理攔截端點群組

攔截端點群組是全域資源,可供機構內不同專案的多個虛擬私有雲網路使用。您建立截取端點群組,允許消費者存取供應商的截取部署群組。每個攔截端點群組都與單一攔截部署群組相關聯。

本頁說明如何建立及管理攔截端點群組。

事前準備

角色

如要建立、查看或刪除攔截端點群組,請要求管理員在 Google Cloud 專案中授予您必要的 Identity and Access Management (IAM) 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

如要查看這個頁面列出的作業進度,請確認您的使用者角色具備「Intercept Endpoint Admin」(roles/networksecurity.interceptEndpointAdmin) 和「Intercept Deployment User」(roles/networksecurity.interceptDeploymentUser) 角色和權限。

您必須在供應商專案中擁有 Intercept Deployment User 角色 (roles/networksecurity.interceptDeploymentUser),才能將消費者端的 Intercept Endpoint Group 連結至供應商端的 Intercept Deployment Group。

建立攔截端點群組

建立攔截端點群組,並連結至生產者端的攔截部署群組。

建議您在安全性管理員擁有的專案中,建立攔截端點群組。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下「建立端點群組」

  3. 在「Name」(名稱) 中,輸入攔截端點群組的名稱。

  4. 在「部署群組」部分,選取下列任一選項:

    • 選取專案:如果您知道截取部署項目群組所在的專案名稱,請選取該專案。

    • 選取目前的專案:如果攔截部署項目群組位於同一個專案中,請選取這個選項。

      如果選取這個選項,請指定攔截部署群組的名稱。

    • 手動輸入部署項目群組:如果攔截部署項目群組位於其他專案,請選取這個選項。

      如果選取這個選項,請指定專案 ID 和攔截部署項目群組的名稱。

  5. 按一下「繼續」

  6. 選用:按一下「新增端點群組關聯」

    指定專案名稱和代管攔截部署群組的虛擬私有雲網路名稱,然後按一下「完成」

  7. 點選「建立」

gcloud

如要建立攔截端點群組,請使用 gcloud network-security intercept-endpoint-groups create 指令

gcloud network-security intercept-endpoint-groups create ENDPOINT_GROUP_ID \
    --location global \
    --no-async \
    --intercept-deployment-group \
        projects/DEPLOYMENT_GROUP_PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID

更改下列內容:

  • ENDPOINT_GROUP_ID:攔截端點群組的 ID。
  • DEPLOYMENT_GROUP_PROJECT_ID:您建立攔截部署群組的Google Cloud 專案 ID。
  • DEPLOYMENT_GROUP_ID:攔截部署項目群組的 ID。

如要將攔截端點群組與虛擬私有雲網路建立關聯,請參閱「建立及管理攔截端點群組關聯」。

Terraform

如要建立攔截端點群組,可以使用 google_network_security_intercept_endpoint_group資源

resource "google_network_security_intercept_endpoint_group" "default" {
  intercept_endpoint_group_id = "intercept-endpoint-group"
  location                    = "global"
  intercept_deployment_group  = google_network_security_intercept_deployment_group.default.id
}

如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。

查看攔截端點群組的詳細資料

您可以查看攔截端點群組的詳細資料,例如名稱和攔截部署項目群組。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下攔截端點群組的名稱。

gcloud

如要查看攔截端點群組的詳細資料,請使用 gcloud network-security intercept-endpoint-groups describe 指令

gcloud network-security intercept-endpoint-groups describe ENDPOINT_GROUP_ID \
    --location global

ENDPOINT_GROUP_ID 替換為攔截端點群組的 ID。

輸出內容中會以 projects/PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID 格式顯示攔截端點群組名稱。

列出攔截端點群組

您可以列出專案中的所有攔截端點群組,包括其 ID。

控制台

如要查看專案的所有攔截端點群組,請前往Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

gcloud

如要列出所有攔截端點群組,請使用 gcloud network-security intercept-endpoint-groups list 指令

gcloud network-security intercept-endpoint-groups list \
    --location global

刪除攔截端點群組

刪除攔截端點群組前,請先從所有虛擬私有雲網路中移除攔截端點群組關聯

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 勾選攔截端點群組的核取方塊,然後按一下「刪除」

  3. 再按一下 [刪除] 加以確認。

gcloud

如要刪除攔截端點群組,請使用 gcloud network-security intercept-endpoint-groups delete 指令

gcloud network-security intercept-endpoint-groups delete ENDPOINT_GROUP_ID
    --no-async \
    --location global

將下列 ENDPOINT_GROUP_ID 替換為攔截端點群組的 ID。

後續步驟