このページでは、プロデューサーのミラーリング デプロイ グループを表すように、コンシューマーのアカウントでミラーリング エンドポイント グループを構成して管理する方法について説明します。
セキュリティ管理者が所有するプロジェクトにミラーリング エンドポイント グループを作成することをおすすめします。ミラーリング エンドポイント グループの関連付けを作成するには、セキュリティ管理者がミラーリング エンドポイント管理者(roles/networksecurity.mirroringAdmin)ロールとミラーリング エンドポイント ネットワーク管理者(roles/networksecurity.mirroringEndpointNetworkAdmin)ロールをプロジェクトまたはネットワーク管理者に割り当てる必要があります。
Virtual Private Cloud(VPC)ネットワークに関連付けられたファイアウォール ポリシーでミラーリング ルールのアクションを MIRROR として有効にし、ミラーリング エンドポイント グループの関連付けを作成した場合、ミラーリングされたトラフィックはミラーリング エンドポイント グループに転送されます。
始める前に
Google Cloud プロジェクトで Compute Engine API を有効にする必要があります。
課金に使用する Google Cloud プロジェクトで Network Security API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。ミラーリング デプロイ グループが必要です。
ロール
ミラーリング エンドポイント グループの作成、表示、削除に必要な権限を取得するには、 Google Cloud プロジェクトに必要な Identity and Access Management(IAM)ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールにミラーリング エンドポイント管理者(roles/networksecurity.mirroringEndpointAdmin)とミラーリング デプロイ ユーザー(roles/networksecurity.mirroringDeploymentUser)のロールと権限があることを確認してください。
コンシューマーのミラーリング エンドポイント グループをプロデューサーのミラーリング デプロイ グループに接続するには、プロデューサー プロジェクトにミラーリング デプロイ ユーザーロール(roles/networksecurity.mirroringDeploymentUser)が必要です。
割り当て
ミラーリング エンドポイント グループに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。
ミラーリング エンドポイント グループを作成する
特定のゾーンにミラーリング エンドポイント グループを作成します。
コンソール
Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。
[エンドポイント グループを作成] をクリックします。
[名前] に、ミラーリング エンドポイント グループの名前を入力します。
[デプロイ グループ] で、次のいずれかを選択します。
プロジェクトを選択: ミラーリング デプロイ グループが存在するプロジェクト名がわかっている場合に選択します。
このオプションを選択した場合は、プロジェクトの名前を選択します。
現在のプロジェクトを選択: ミラーリング デプロイ グループが現在のプロジェクトに存在する場合は、これを選択します。
このオプションを選択した場合は、ミラーリング デプロイ グループの名前を指定します。
デプロイ グループを手動で入力: ミラーリング デプロイ グループが別のプロジェクトに存在する場合に選択します。
このオプションを選択した場合は、プロジェクト ID とミラーリング デプロイ グループの名前を指定します。
[続行] をクリックします。
省略可: [エンドポイント グループの関連付けを追加] をクリックします。
プロジェクトの名前と、ミラーリング エンドポイント グループをホストする VPC ネットワークの名前を指定して、[完了] をクリックします。
[作成] をクリックします。
gcloud
ミラーリング エンドポイント グループを作成するには、gcloud network-security mirroring-endpoint-groups create コマンドを使用します。
gcloud network-security mirroring-endpoint-groups create ENDPOINT_GROUP \
--location global \
--project PROJECT_NAME \
--mirroring-deployment-group DEPLOYMENT_GROUP \
--no-async
次のように置き換えます。
ENDPOINT_GROUP: ミラーリング エンドポイント グループの名前PROJECT_NAME: ミラーリング エンドポイント グループを作成するプロジェクトの名前DEPLOYMENT_GROUP: ミラーリング デプロイ グループの名前
ミラーリング エンドポイント グループを VPC ネットワークに関連付けるには、ミラーリング エンドポイント グループの関連付けを作成して管理するをご覧ください。
Terraform
ミラーリング エンドポイント グループを作成するには、google_network_security_mirroring_endpoint_group リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
ミラーリング エンドポイント グループを表示する
特定のミラーリング エンドポイント グループの詳細を表示できます。
コンソール
Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。
ミラーリング エンドポイント グループの名前をクリックします。
gcloud
ミラーリング エンドポイント グループの詳細を表示するには、gcloud network-security mirroring-endpoint-groups describe コマンドを使用します。
gcloud network-security mirroring-endpoint-groups \
describe ENDPOINT_GROUP \
--location global
ENDPOINT_GROUP は、ミラーリング エンドポイント グループの名前に置き換えます。
ミラーリング エンドポイント グループの一覧を取得する
プロジェクト内のすべてのミラーリング エンドポイント グループを一覧表示できます。
コンソール
プロジェクトのすべてのミラーリング エンドポイント グループを表示するには、次の操作を行います。
Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。
ミラーリング エンドポイント グループのリストを表示するには、filter_list [フィルタ] をクリックします。
[プロパティ] リストから [目的] を選択し、[値] で [NSI アウトオブバンド] を選択します。
gcloud
すべてのミラーリング エンドポイント グループを一覧表示するには、gcloud network-security mirroring-endpoint-groups list コマンドを使用します。
gcloud network-security mirroring-endpoint-groups list \
--project PROJECT_NAME \
--location global
PROJECT_NAME は、ミラーリング エンドポイント グループが作成されたプロジェクトの名前に置き換えます。
ミラーリング エンドポイント グループを削除する
ミラーリング エンドポイント グループは、名前、ロケーション、プロジェクトを指定して削除できます。
コンソール
Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。
ミラーリング エンドポイント グループのチェックボックスをオンにして、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
ミラーリング エンドポイント グループを削除するには、gcloud network-security mirroring-endpoint-groups delete コマンドを使用します。
gcloud network-security mirroring-endpoint-groups delete ENDPOINT_GROUP
--project PROJECT_NAME \
--location global \
--no-async
次のように置き換えます。
ENDPOINT_GROUP: ミラーリング エンドポイント グループの名前。PROJECT_NAME: ミラーリング エンドポイント グループが作成されたプロジェクトの名前。