创建和管理镜像部署

通过镜像部署,您可以公开一组可用区级负载均衡设备,以便镜像端点组可以使用镜像部署。

本页面介绍如何创建和管理镜像部署

准备工作

角色

如需获得创建、查看或删除镜像部署所需的权限,请让您的管理员向您授予项目的必要 Identity and Access Management (IAM) 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

如需检查本页面中列出的操作的进度,请确保您的用户角色具有以下 Mirroring Deployment Admin 角色 (roles/networksecurity.mirroringDeploymentAdmin) 权限:

  • networksecurity.mirroringDeployments.create
  • networksecurity.mirroringDeployments.delete
  • networksecurity.mirroringDeployments.get
  • networksecurity.mirroringDeployments.list

创建镜像部署

创建镜像部署以表示可用区内的提供方,并将其与镜像部署组相关联。 我们建议您在安全管理员拥有的项目中创建镜像部署。

控制台

  1. 在 Google Cloud 控制台中,前往部署组页面。

    前往“部署组”

  2. 依次点击 filter_list过滤

  3. 属性列表中,选择用途,然后为选择 NSI 带外

  4. 点击要添加镜像部署的部署组。

  5. 点击创建镜像部署

  6. 对于名称,输入镜像部署的名称。

  7. 区域可用区中,选择您的区域和可用区。

  8. 对于负载平衡器,选择内部直通式网络负载平衡器。

  9. 转发规则字段中,选择负载平衡器的 UDP 转发规则。如果负载均衡器只有一条转发规则,系统会默认选择该规则,并且相应字段处于停用状态。

  10. 点击创建

gcloud

如需创建镜像部署,请使用 gcloud network-security mirroring-deployments create 命令

 gcloud network-security mirroring-deployments \
     create DEPLOYMENT \
     --location ZONE \
     --forwarding-rule FWD_RULE \
     --forwarding-rule-location REGION \
     --mirroring-deployment-group DEPLOYMENT_GROUP_ID \
     --is-mirroring-collector
     --no-async

替换以下内容:

  • DEPLOYMENT:镜像部署的名称;您可以将名称指定为字符串或唯一网址标识符。

  • ZONE:镜像部署所在的可用区

  • FWD_RULE:用于将网络流量定向到负载平衡器的转发规则

  • REGION:转发规则的区域

  • DEPLOYMENT_GROUP_ID:镜像部署组的 ID

Terraform

如需创建镜像部署,您可以使用 google_network_security_mirroring_deployment 资源

resource "google_network_security_mirroring_deployment" "default" {
  mirroring_deployment_id    = "mirroring-deployment"
  location                   = "us-central1-a"
  forwarding_rule            = google_compute_forwarding_rule.default.id
  mirroring_deployment_group = google_network_security_mirroring_deployment_group.default.id
}

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

查看镜像部署

您可以查看项目中特定镜像部署的详细信息。

控制台

  1. 在 Google Cloud 控制台中,前往部署组页面。

    前往“部署组”

  2. 点击部署组的名称。

  3. 点击相应部署的名称。

gcloud

如需查看镜像部署的详细信息,请使用 gcloud network-security mirroring-deployments describe 命令

gcloud network-security mirroring-deployments \
    describe DEPLOYMENT \
    --location ZONE \
    --project PROJECT

替换以下内容:

  • DEPLOYMENT:镜像部署的名称

  • ZONE:镜像部署所在的可用区

  • PROJECT:镜像部署的项目名称

列出镜像部署

您可以列出项目中的所有镜像部署。

控制台

  1. 在 Google Cloud 控制台中,前往部署组页面。

    前往“部署组”

  2. 点击部署组的名称。

gcloud

如需列出镜像部署,请使用 gcloud network-security mirroring-deployments list 命令

 gcloud network-security mirroring-deployments list \
     --location ZONE \
     --project PROJECT

替换以下内容:

  • ZONE:镜像部署的可用区

  • PROJECT:镜像部署项目的名称

删除镜像部署

您可以通过指定镜像部署的名称、位置和项目来删除它。不过,如果镜像部署被镜像部署组引用,则无法删除。

控制台

  1. 在 Google Cloud 控制台中,前往部署组页面。

    前往“部署组”

  2. 点击镜像部署组的名称。

  3. 选中镜像部署的复选框,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除镜像部署,请使用 gcloud network-security mirroring-deployments delete 命令

 gcloud network-security mirroring-deployments \
     delete DEPLOYMENT \
     --location ZONE \
     --project PROJECT \
     --no-async

替换以下内容:

  • DEPLOYMENT:镜像部署的名称

  • ZONE:镜像部署所在的可用区

  • PROJECT:镜像部署的项目名称

后续步骤