建立及管理鏡像端點群組

本頁說明如何在消費者的帳戶中設定及管理鏡像端點群組,以代表生產者的鏡像部署群組。

建議您在安全性管理員擁有的專案中,建立鏡像端點群組。如要建立鏡像端點群組關聯,安全管理員必須將「鏡像端點管理員」(roles/networksecurity.mirroringAdmin) 和「鏡像端點網路管理員」(roles/networksecurity.mirroringEndpointNetworkAdmin) 角色指派給專案或網路管理員。

如果您已在與虛擬私有雲 (VPC) 網路相關聯的防火牆政策中,啟用鏡像規則動作 MIRROR,並建立鏡像端點群組關聯,鏡像流量就會轉送至鏡像端點群組。

事前準備

角色

如要取得建立、查看或刪除鏡像端點群組所需的權限,請要求管理員在專案中授予您必要的Identity and Access Management (IAM) 角色 Google Cloud 。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

如要查看這個頁面列出的作業進度,請確認您的使用者角色具備「鏡像端點管理員」(roles/networksecurity.mirroringEndpointAdmin) 和「鏡像部署使用者」(roles/networksecurity.mirroringDeploymentUser) 角色和權限。

您必須在供應商專案中擁有鏡像部署使用者角色 (roles/networksecurity.mirroringDeploymentUser),才能將消費者的鏡像端點群組連結至供應商的鏡像部署群組。

配額

如要查看與鏡像端點群組相關聯的配額,請參閱配額與限制

建立鏡像端點群組

在特定區域中建立鏡像端點群組。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下「建立端點群組」

  3. 在「Name」(名稱) 中,輸入鏡像端點群組的名稱。

  4. 在「部署群組」部分,選取下列任一選項:

    • 選取專案:如果您知道鏡像部署群組所在的專案名稱,請選取這個選項。

      如果選取這個選項,請選取專案名稱。

    • 選取目前的專案:如果鏡像部署項目群組位於目前的專案中,請選取這個選項。

      如果選取這個選項,請指定鏡像部署群組的名稱。

    • 手動輸入部署項目群組:如果鏡像部署項目群組位於其他專案,請選取這個選項。

      選取這個選項後,請指定專案 ID 和鏡像部署項目群組的名稱。

  5. 按一下「繼續」

  6. 選用:按一下「新增端點群組關聯」

    指定專案名稱和代管鏡像端點群組的虛擬私有雲網路名稱,然後按一下「完成」

  7. 點選「建立」

gcloud

如要建立鏡像端點群組,請使用 gcloud network-security mirroring-endpoint-groups create 指令

 gcloud network-security mirroring-endpoint-groups create ENDPOINT_GROUP \
     --location global \
     --project PROJECT_NAME \
     --mirroring-deployment-group DEPLOYMENT_GROUP \
     --no-async

更改下列內容:

  • ENDPOINT_GROUP:鏡像端點群組的名稱

  • PROJECT_NAME:要在其中建立鏡像端點群組的專案名稱

  • DEPLOYMENT_GROUP:鏡像部署群組的名稱

如要將鏡像端點群組與虛擬私有雲網路建立關聯,請參閱「建立及管理鏡像端點群組關聯」。

Terraform

如要建立鏡像端點群組,可以使用 google_network_security_mirroring_endpoint_group 資源

resource "google_network_security_mirroring_endpoint_group" "default" {
  mirroring_endpoint_group_id = "mirroring-endpoint-group"
  location                    = "global"
  mirroring_deployment_group  = google_network_security_mirroring_deployment_group.default.id
}

如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。

查看 Mirroring 端點群組

您可以查看特定鏡像端點群組的詳細資料。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下鏡像端點群組的名稱。

gcloud

如要查看鏡像端點群組的詳細資料,請使用 gcloud network-security mirroring-endpoint-groups describe 指令

 gcloud network-security mirroring-endpoint-groups \
     describe ENDPOINT_GROUP \
     --location global

ENDPOINT_GROUP 替換為鏡像端點群組的名稱。

列出 Mirroring 端點群組

您可以列出專案中的所有鏡像端點群組。

控制台

如要查看專案的所有鏡像端點群組,請完成下列步驟:

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 如要列出鏡像端點群組,請按一下「篩選」圖示 filter_list

  3. 在「Properties」清單中選取「Purpose」,然後在「Value」中選取「NSI out-of-band」

gcloud

如要列出所有 Mirroring 端點群組,請使用 gcloud network-security mirroring-endpoint-groups list 指令

 gcloud network-security mirroring-endpoint-groups list \
     --project PROJECT_NAME \
     --location global

PROJECT_NAME 替換為建立鏡像端點群組的專案名稱。

刪除鏡像端點群組

您可以指定名稱、位置和專案,刪除鏡像端點群組。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 選取鏡像端點群組的核取方塊,然後按一下「刪除」

  3. 再按一下 [刪除] 加以確認。

gcloud

如要刪除 Mirroring 端點群組,請使用 gcloud network-security mirroring-endpoint-groups delete 指令

 gcloud network-security mirroring-endpoint-groups delete ENDPOINT_GROUP
     --project PROJECT_NAME \
     --location global \
     --no-async

更改下列內容:

  • ENDPOINT_GROUP:鏡像端點群組的名稱。

  • PROJECT_NAME:建立鏡像端點群組的專案名稱。

後續步驟