Créer et gérer des groupes de points de terminaison de mise en miroir

Cette page explique comment configurer et gérer les groupes de points de terminaison de mise en miroir dans le compte du consommateur pour représenter les groupes de déploiement de mise en miroir du producteur.

Nous vous recommandons de créer le groupe de points de terminaison de mise en miroir dans un projet appartenant à votre administrateur de la sécurité. Pour créer des associations de groupes de points de terminaison de mise en miroir, l'administrateur de sécurité doit attribuer les rôles Administrateur de point de terminaison de mise en miroir (roles/networksecurity.mirroringAdmin) et Administrateur réseau de point de terminaison de mise en miroir (roles/networksecurity.mirroringEndpointNetworkAdmin) au projet ou à l'administrateur réseau.

Si vous avez activé l'action de règle de mise en miroir MIRROR dans la stratégie de pare-feu associée à votre réseau cloud privé virtuel (VPC) et que vous avez créé les associations de groupes de points de terminaison de mise en miroir, le trafic mis en miroir est transféré vers le groupe de points de terminaison de mise en miroir.

Avant de commencer

Rôles

Pour obtenir les autorisations nécessaires pour créer, afficher ou supprimer des groupes de points de terminaison de mise en miroir, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) nécessaires sur votre projet Google Cloud . Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des rôles et autorisations d'administrateur de point de terminaison de mise en miroir (roles/networksecurity.mirroringEndpointAdmin) et d'utilisateur de déploiement de mise en miroir (roles/networksecurity.mirroringDeploymentUser).

Le rôle Utilisateur du déploiement de mise en miroir (roles/networksecurity.mirroringDeploymentUser) est requis dans le projet du producteur pour que vous puissiez connecter le groupe de points de terminaison de mise en miroir du consommateur au groupe de déploiement de mise en miroir du producteur.

Quotas

Pour afficher les quotas associés aux groupes de points de terminaison de mise en miroir, consultez Quotas et limites.

Créer un groupe de points de terminaison de mise en miroir

Créez un groupe de points de terminaison de mise en miroir dans une zone spécifique.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de points de terminaison.

    Accéder à la page "Groupes de points de terminaison"

  2. Cliquez sur Créer un groupe de points de terminaison.

  3. Dans le champ Nom, saisissez un nom pour le groupe de points de terminaison de mise en miroir.

  4. Pour Groupe de déploiement, sélectionnez l'une des options suivantes :

    • Sélectionner un projet : sélectionnez cette option si vous connaissez le nom du projet dans lequel existe le groupe de déploiement de mise en miroir.

      Si vous sélectionnez cette option, sélectionnez le nom du projet.

    • Sélectionner le projet actuel : sélectionnez cette option si le groupe de déploiement de mise en miroir existe dans le projet actuel.

      Si vous sélectionnez cette option, spécifiez le nom du groupe de déploiement de mise en miroir.

    • Saisir manuellement le groupe de déploiement : sélectionnez cette option si le groupe de déploiement de mise en miroir existe dans un autre projet.

      Si vous sélectionnez cette option, spécifiez l'ID du projet et le nom du groupe de déploiement de mise en miroir.

  5. Cliquez sur Continuer.

  6. Facultatif : Cliquez sur Ajouter une association de groupe de points de terminaison.

    Spécifiez le nom du projet et celui du réseau VPC qui héberge le groupe de points de terminaison de mise en miroir, puis cliquez sur Done (OK).

  7. Cliquez sur Créer.

gcloud

Pour créer un groupe de points de terminaison de mise en miroir, utilisez la commande gcloud network-security mirroring-endpoint-groups create :

 gcloud network-security mirroring-endpoint-groups create ENDPOINT_GROUP \
     --location global \
     --project PROJECT_NAME \
     --mirroring-deployment-group DEPLOYMENT_GROUP \
     --no-async

Remplacez les éléments suivants :

  • ENDPOINT_GROUP : nom du groupe de points de terminaison de mise en miroir.

  • PROJECT_NAME : nom du projet dans lequel vous souhaitez créer le groupe de points de terminaison de mise en miroir

  • DEPLOYMENT_GROUP : nom du groupe de déploiement de mise en miroir

Pour associer le groupe de points de terminaison de mise en miroir à un réseau VPC, consultez Créer et gérer des associations de groupes de points de terminaison de mise en miroir.

Terraform

Pour créer un groupe de points de terminaison de mise en miroir, vous pouvez utiliser une ressource google_network_security_mirroring_endpoint_group.

resource "google_network_security_mirroring_endpoint_group" "default" {
  mirroring_endpoint_group_id = "mirroring-endpoint-group"
  location                    = "global"
  mirroring_deployment_group  = google_network_security_mirroring_deployment_group.default.id
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

Afficher un groupe de points de terminaison de mise en miroir

Vous pouvez afficher les détails d'un groupe de points de terminaison de mise en miroir spécifique.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de points de terminaison.

    Accéder à la page "Groupes de points de terminaison"

  2. Cliquez sur le nom du groupe de points de terminaison de mise en miroir.

gcloud

Pour afficher les détails d'un groupe de points de terminaison de mise en miroir, utilisez la commande gcloud network-security mirroring-endpoint-groups describe :

 gcloud network-security mirroring-endpoint-groups \
     describe ENDPOINT_GROUP \
     --location global

Remplacez ENDPOINT_GROUP par le nom du groupe de points de terminaison de mise en miroir.

Lister les groupes de points de terminaison de mise en miroir

Vous pouvez lister tous les groupes de points de terminaison de mise en miroir d'un projet.

Console

Pour afficher tous les groupes de points de terminaison de mise en miroir du projet, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Groupes de points de terminaison.

    Accéder à la page "Groupes de points de terminaison"

  2. Pour lister les groupes de points de terminaison de mise en miroir, cliquez sur filter_listFiltrer.

  3. Dans la liste Propriétés, sélectionnez Objectif, puis NSI hors bande pour Valeur.

gcloud

Pour lister tous les groupes de points de terminaison de mise en miroir, utilisez la commande gcloud network-security mirroring-endpoint-groups list :

 gcloud network-security mirroring-endpoint-groups list \
     --project PROJECT_NAME \
     --location global

Remplacez PROJECT_NAME par le nom du projet dans lequel le groupe de points de terminaison de mise en miroir a été créé.

Supprimer un groupe de points de terminaison de mise en miroir

Vous pouvez supprimer un groupe de points de terminaison de mise en miroir en spécifiant son nom, son emplacement et son projet.

Console

  1. Dans la console Google Cloud , accédez à la page Groupes de points de terminaison.

    Accéder à la page "Groupes de points de terminaison"

  2. Cochez la case du groupe de points de terminaison de mise en miroir, puis cliquez sur Supprimer.

  3. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

gcloud

Pour supprimer un groupe de points de terminaison de mise en miroir, utilisez la commande gcloud network-security mirroring-endpoint-groups delete :

 gcloud network-security mirroring-endpoint-groups delete ENDPOINT_GROUP
     --project PROJECT_NAME \
     --location global \
     --no-async

Remplacez les éléments suivants :

  • ENDPOINT_GROUP : nom du groupe de points de terminaison de mise en miroir.

  • PROJECT_NAME : nom du projet dans lequel le groupe de points de terminaison de mise en miroir a été créé.

Étapes suivantes