建立及管理鏡像部署項目

鏡像部署可讓您公開一組區域負載平衡設備,供鏡像端點群組使用。

本頁說明如何建立及管理鏡像部署作業

事前準備

角色

如要取得建立、查看或刪除鏡像部署作業所需的權限,請要求管理員在專案中授予您必要的Identity and Access Management (IAM) 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

如要查看這個頁面列出的作業進度,請確認您的使用者角色具有下列鏡像部署管理員角色 (roles/networksecurity.mirroringDeploymentAdmin) 權限:

  • networksecurity.mirroringDeployments.create
  • networksecurity.mirroringDeployments.delete
  • networksecurity.mirroringDeployments.get
  • networksecurity.mirroringDeployments.list

建立鏡像流量部署項目

建立鏡像部署項目,代表區域內的供應商端,並將其與鏡像部署項目群組建立關聯。建議您在安全管理員擁有的專案中建立鏡像部署作業。

控制台

  1. 前往 Google Cloud 控制台的「Deployment groups」(部署群組) 頁面。

    前往「部署群組」

  2. 按一下「篩選器」圖示 filter_list「篩選器」

  3. 在「Properties」清單中選取「Purpose」,然後在「Value」中選取「NSI out-of-band」

  4. 按一下要新增鏡像部署的部署群組。

  5. 按一下「建立鏡像部署項目」

  6. 在「Name」部分,輸入鏡像部署項目的名稱。

  7. 在「Region」(區域) 和「Zone」(可用區) 部分,選取區域和可用區。

  8. 在「Load balancer」(負載平衡器) 中,選取內部直通式網路負載平衡器。

  9. 在「Forwarding rule」(轉送規則),選取負載平衡器的 UDP 轉送規則。如果負載平衡器只有一項轉送規則,系統會預設選取該規則,並停用該欄位。

  10. 點選「建立」

gcloud

如要建立鏡像部署作業,請使用 gcloud network-security mirroring-deployments create 指令

 gcloud network-security mirroring-deployments \
     create DEPLOYMENT \
     --location ZONE \
     --forwarding-rule FWD_RULE \
     --forwarding-rule-location REGION \
     --mirroring-deployment-group DEPLOYMENT_GROUP_ID \
     --is-mirroring-collector
     --no-async

更改下列內容:

  • DEPLOYMENT:鏡像部署的名稱,可以指定為字串或專屬網址 ID。

  • ZONE:鏡像部署項目的可用區

  • FWD_RULE:將網路流量導向負載平衡的轉送規則

  • REGION:轉送規則的區域

  • DEPLOYMENT_GROUP_ID:鏡像部署群組的 ID

Terraform

如要建立鏡像部署作業,可以使用 google_network_security_mirroring_deployment 資源

resource "google_network_security_mirroring_deployment" "default" {
  mirroring_deployment_id    = "mirroring-deployment"
  location                   = "us-central1-a"
  forwarding_rule            = google_compute_forwarding_rule.default.id
  mirroring_deployment_group = google_network_security_mirroring_deployment_group.default.id
}

如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。

查看鏡像部署項目

您可以查看專案中特定鏡像部署作業的詳細資料。

控制台

  1. 前往 Google Cloud 控制台的「Deployment groups」(部署群組) 頁面。

    前往「部署群組」

  2. 按一下部署群組的名稱。

  3. 按一下部署作業的名稱。

gcloud

如要查看鏡像部署作業的詳細資料,請使用 gcloud network-security mirroring-deployments describe 指令

gcloud network-security mirroring-deployments \
    describe DEPLOYMENT \
    --location ZONE \
    --project PROJECT

更改下列內容:

  • DEPLOYMENT:鏡像部署項目的名稱

  • ZONE:鏡像部署項目的可用區

  • PROJECT:鏡像部署的專案名稱

列出鏡像部署項目

您可以列出專案中的所有鏡像部署作業。

控制台

  1. 前往 Google Cloud 控制台的「Deployment groups」(部署群組) 頁面。

    前往「部署群組」

  2. 按一下部署群組的名稱。

gcloud

如要列出鏡像部署作業,請使用 gcloud network-security mirroring-deployments list 指令

 gcloud network-security mirroring-deployments list \
     --location ZONE \
     --project PROJECT

更改下列內容:

  • ZONE:鏡像部署的可用區

  • PROJECT:鏡像部署專案的名稱

刪除鏡像流量部署項目

您可以指定名稱、位置和專案,刪除鏡像部署作業。不過,如果鏡像部署項目受到鏡像部署項目群組參照,就無法刪除。

控制台

  1. 前往 Google Cloud 控制台的「Deployment groups」(部署群組) 頁面。

    前往「部署群組」

  2. 按一下鏡像部署群組的名稱。

  3. 勾選鏡像部署作業的核取方塊,然後按一下「Delete」(刪除)

  4. 再按一下 [刪除] 加以確認。

gcloud

如要刪除鏡像部署作業,請使用 gcloud network-security mirroring-deployments delete 指令

 gcloud network-security mirroring-deployments \
     delete DEPLOYMENT \
     --location ZONE \
     --project PROJECT \
     --no-async

更改下列內容:

  • DEPLOYMENT:鏡像部署項目的名稱

  • ZONE:鏡像部署項目的可用區

  • PROJECT:鏡像部署的專案名稱

後續步驟