创建和管理镜像端点组

本页介绍了如何在消费者的账号中配置和管理镜像端点组,以表示生产者的镜像部署组。

我们建议您在安全管理员拥有的项目中创建镜像端点组。如需创建镜像端点组关联,安全管理员必须将 Mirroring Endpoint Admin (roles/networksecurity.mirroringAdmin) 和 Mirroring Endpoint Network Admin (roles/networksecurity.mirroringEndpointNetworkAdmin) 角色分配给项目或网络管理员。

如果您在与 Virtual Private Cloud (VPC) 网络关联的防火墙政策中将镜像规则操作设为 MIRROR,并创建了镜像端点组关联,则镜像流量会转发到镜像端点组。

准备工作

角色

如需获得创建、查看或删除镜像端点组所需的权限,请让您的管理员向您授予 Google Cloud 项目的必要 Identity and Access Management (IAM) 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

如需检查本页面中列出的操作的进度,请确保您的用户角色具有 Mirroring Endpoint Admin (roles/networksecurity.mirroringEndpointAdmin) 和 Mirroring Deployment User (roles/networksecurity.mirroringDeploymentUser) 角色及权限。

您需要在提供方项目上拥有“镜像部署用户”角色 (roles/networksecurity.mirroringDeploymentUser),才能将使用方的镜像端点组连接到提供方的镜像部署组。

配额

如需查看与镜像端点组关联的配额,请参阅配额和限制

创建镜像端点组

在特定可用区中创建镜像端点组。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 点击创建端点组

  3. 对于名称,请输入镜像端点组的名称。

  4. 对于部署组,请选择以下任一选项:

    • 选择项目:如果您知道镜像部署组所在的项目名称,请选择此选项。

      如果您选择此选项,请选择项目名称。

    • 选择当前项目:如果镜像部署群组位于当前项目中,请选择此选项。

      如果您选择此选项,请指定镜像部署组的名称。

    • 手动输入部署群组:如果镜像部署群组位于其他项目中,请选择此选项。

      如果您选择此选项,请指定项目 ID 和镜像部署组的名称。

  5. 点击继续

  6. 可选:点击添加端点组关联

    指定项目名称和托管镜像端点组的 VPC 网络的名称,然后点击 Done

  7. 点击创建

gcloud

如需创建镜像端点组,请使用 gcloud network-security mirroring-endpoint-groups create 命令

 gcloud network-security mirroring-endpoint-groups create ENDPOINT_GROUP \
     --location global \
     --project PROJECT_NAME \
     --mirroring-deployment-group DEPLOYMENT_GROUP \
     --no-async

替换以下内容:

  • ENDPOINT_GROUP:镜像端点组的名称

  • PROJECT_NAME:您要在其中创建镜像端点组的项目名称

  • DEPLOYMENT_GROUP:镜像部署组的名称

如需将镜像端点组与 VPC 网络相关联,请参阅创建和管理镜像端点组关联

Terraform

如需创建镜像端点组,您可以使用 google_network_security_mirroring_endpoint_group 资源

resource "google_network_security_mirroring_endpoint_group" "default" {
  mirroring_endpoint_group_id = "mirroring-endpoint-group"
  location                    = "global"
  mirroring_deployment_group  = google_network_security_mirroring_deployment_group.default.id
}

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

查看镜像端点组

您可以查看特定镜像端点组的详细信息。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 点击镜像端点组的名称。

gcloud

如需查看镜像端点组的详细信息,请使用 gcloud network-security mirroring-endpoint-groups describe 命令

 gcloud network-security mirroring-endpoint-groups \
     describe ENDPOINT_GROUP \
     --location global

ENDPOINT_GROUP 替换为镜像端点组的名称。

列出镜像端点组

您可以列出项目中的所有镜像端点组。

控制台

如需查看项目的所有镜像端点组,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 如需列出镜像端点组,请依次点击 filter_list过滤

  3. 属性列表中,选择用途,然后为选择 NSI 带外

gcloud

如需列出所有镜像端点组,请使用 gcloud network-security mirroring-endpoint-groups list 命令

 gcloud network-security mirroring-endpoint-groups list \
     --project PROJECT_NAME \
     --location global

PROJECT_NAME 替换为创建镜像端点组的项目名称。

删除镜像端点组

您可以通过指定镜像端点组的名称、位置和项目来删除它。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 选中镜像端点组的复选框,然后点击删除

  3. 再次点击删除进行确认。

gcloud

如需删除镜像端点组,请使用 gcloud network-security mirroring-endpoint-groups delete 命令

 gcloud network-security mirroring-endpoint-groups delete ENDPOINT_GROUP
     --project PROJECT_NAME \
     --location global \
     --no-async

替换以下内容:

  • ENDPOINT_GROUP:镜像端点组的名称。

  • PROJECT_NAME:创建镜像端点组的项目名称。

后续步骤