Spiegelungs-Endpunktgruppen erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Sie die Spiegelungsendpunktgruppen im Konto des Nutzers konfigurieren und verwalten, um die Spiegelungsbereitstellungsgruppen des Produzenten darzustellen.

Wir empfehlen, die Spiegelungsendpunktgruppe in einem Projekt zu erstellen, das Ihrem Sicherheitsadministrator gehört. Damit die Verknüpfungen der Spiegelungs-Endpunktgruppe erstellt werden können, muss der Sicherheitsadministrator dem Projekt oder dem Netzwerkadministrator die Rollen „Mirroring Endpoint Admin“ (roles/networksecurity.mirroringAdmin) und „Mirroring Endpoint Network Admin“ (roles/networksecurity.mirroringEndpointNetworkAdmin) zuweisen.

Wenn Sie die Spiegelungsregelaktion als MIRROR in der mit Ihrem VPC-Netzwerk (Virtual Private Cloud) verknüpften Firewallrichtlinie aktiviert und die Spiegelungs-Endpunktgruppen-Verknüpfungen erstellt haben, wird der gespiegelte Traffic an die Spiegelungs-Endpunktgruppe weitergeleitet.

Hinweise

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen für Ihr Google Cloud -Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen oder Löschen von Spiegelungsendpunktgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre Nutzerrolle die Rollen und Berechtigungen „Mirroring Endpoint Admin“ (roles/networksecurity.mirroringEndpointAdmin) und „Mirroring Deployment User“ (roles/networksecurity.mirroringDeploymentUser) haben.

Die Rolle „Nutzer der Spiegelungsbereitstellung“ (roles/networksecurity.mirroringDeploymentUser) ist für das Erstellerprojekt erforderlich, damit Sie die Spiegelungsendpunktgruppe des Nutzers mit der Spiegelungsbereitstellungsgruppe des Erstellers verbinden können.

Kontingente

Informationen zu Kontingenten für Spiegelungsendpunktgruppen finden Sie unter Kontingente und Limits.

Endpunktgruppe für Spiegelung erstellen

Erstellen Sie eine Spiegelungs-Endpunktgruppe in einer bestimmten Zone.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Endpunktgruppen auf.

    Zu den Endpunktgruppen

  2. Klicken Sie auf Endpunktgruppe erstellen.

  3. Geben Sie unter Name einen Namen für die Spiegelungsendpunktgruppe ein.

  4. Wählen Sie für Bereitstellungsgruppe eine der folgenden Optionen aus:

    • Projekt auswählen: Wählen Sie diese Option aus, wenn Sie den Namen des Projekts kennen, in dem die Spiegelungsbereitstellungsgruppe vorhanden ist.

      Wenn Sie diese Option auswählen, wählen Sie den Namen des Projekts aus.

    • Aktuelles Projekt auswählen: Wählen Sie diese Option aus, wenn die Spiegelungsbereitstellungsgruppe im aktuellen Projekt vorhanden ist.

      Wenn Sie diese Option auswählen, geben Sie den Namen der Spiegelungsbereitstellungsgruppe an.

    • Bereitstellungsgruppe manuell eingeben: Wählen Sie diese Option aus, wenn die Spiegelungsbereitstellungsgruppe in einem anderen Projekt vorhanden ist.

      Wenn Sie diese Option auswählen, geben Sie die Projekt-ID und den Namen der Spiegelungsbereitstellungsgruppe an.

  5. Klicken Sie auf Weiter.

  6. Optional: Klicken Sie auf Endpunktgruppen-Verknüpfung hinzufügen.

    Geben Sie den Namen des Projekts und des VPC-Netzwerks an, in dem die Spiegelungs-Endpunktgruppe gehostet wird, und klicken Sie dann auf Fertig.

  7. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den Befehl gcloud network-security mirroring-endpoint-groups create, um eine Spiegelungsendpunktgruppe zu erstellen:

 gcloud network-security mirroring-endpoint-groups create ENDPOINT_GROUP \
     --location global \
     --project PROJECT_NAME \
     --mirroring-deployment-group DEPLOYMENT_GROUP \
     --no-async

Ersetzen Sie Folgendes:

  • ENDPOINT_GROUP: der Name der Spiegelungs-Endpunktgruppe.

  • PROJECT_NAME: Der Projektname, in dem Sie die Spiegelungsendpunktgruppe erstellen möchten.

  • DEPLOYMENT_GROUP: Name der Bereitstellungsgruppe für Spiegelung

Informationen zum Verknüpfen der Spiegelungs-Endpunktgruppe mit einem VPC-Netzwerk finden Sie unter Spiegelungs-Endpunktgruppen-Verknüpfungen erstellen und verwalten.

Terraform

Zum Erstellen einer Spiegelungsendpunktgruppe können Sie eine google_network_security_mirroring_endpoint_group-Ressource verwenden.

resource "google_network_security_mirroring_endpoint_group" "default" {
  mirroring_endpoint_group_id = "mirroring-endpoint-group"
  location                    = "global"
  mirroring_deployment_group  = google_network_security_mirroring_deployment_group.default.id
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Endpunktgruppe für Spiegelung ansehen

Sie können die Details einer bestimmten Spiegelungsendpunktgruppe aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Endpunktgruppen auf.

    Zu den Endpunktgruppen

  2. Klicken Sie auf den Namen der Spiegelungsendpunktgruppe.

gcloud

Wenn Sie Details zu einer Spiegelungsendpunktgruppe aufrufen möchten, verwenden Sie den gcloud network-security mirroring-endpoint-groups describe-Befehl:

 gcloud network-security mirroring-endpoint-groups \
     describe ENDPOINT_GROUP \
     --location global

Ersetzen Sie ENDPOINT_GROUP durch den Namen der Spiegelungsendpunktgruppe.

Spiegelungs-Endpunktgruppen auflisten

Sie können alle Spiegelungsendpunktgruppen in einem Projekt auflisten.

Console

So rufen Sie alle Endpunktgruppen für Spiegelungen des Projekts auf:

  1. Rufen Sie in der Google Cloud Console die Seite Endpunktgruppen auf.

    Zu den Endpunktgruppen

  2. Wenn Sie die Spiegelungsendpunktgruppen auflisten möchten, klicken Sie auf filter_listFiltern.

  3. Wählen Sie in der Liste Properties (Eigenschaften) die Option Purpose (Zweck) und dann für Value (Wert) die Option NSI out-of-band (NSI-Band) aus.

gcloud

Verwenden Sie den gcloud network-security mirroring-endpoint-groups list-Befehl, um alle Spiegelungsendpunktgruppen aufzulisten:

 gcloud network-security mirroring-endpoint-groups list \
     --project PROJECT_NAME \
     --location global

Ersetzen Sie PROJECT_NAME durch den Namen des Projekts, in dem die Spiegelungsendpunktgruppe erstellt wurde.

Endpunktgruppe für Spiegelung löschen

Sie können eine Spiegelungsendpunktgruppe löschen, indem Sie ihren Namen, ihren Standort und ihr Projekt angeben.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Endpunktgruppen auf.

    Zu den Endpunktgruppen

  2. Markieren Sie das Kästchen der Spiegelungs-Endpunktgruppe und klicken Sie auf Löschen.

  3. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Spiegelungsendpunktgruppe den Befehl gcloud network-security mirroring-endpoint-groups delete:

 gcloud network-security mirroring-endpoint-groups delete ENDPOINT_GROUP
     --project PROJECT_NAME \
     --location global \
     --no-async

Ersetzen Sie Folgendes:

  • ENDPOINT_GROUP: der Name der Spiegelungs-Endpunktgruppe.

  • PROJECT_NAME: Der Name des Projekts, in dem die Spiegelungsendpunktgruppe erstellt wurde.

Nächste Schritte