创建和管理镜像端点组关联

创建镜像端点组关联,以将镜像端点组附加到虚拟私有云 (VPC) 网络。您可以创建全局镜像端点组,并将其与一个或多个 VPC 网络相关联,以监控工作负载。

本页介绍了如何创建和管理镜像端点组关联。

准备工作

角色

如需获得创建、查看或删除镜像端点组关联所需的权限,请让您的管理员向您授予项目的必要 Identity and Access Management (IAM) 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

如需检查本页面中列出的操作的进度,请确保您的用户角色具有以下镜像端点管理员角色 (roles/networksecurity.mirroringEndpointAdmin) 和镜像端点用户角色 (roles/networksecurity.mirroringEndpointUser) 权限:

  • networksecurity.mirroringEndpointGroupAssociations.create
  • networksecurity.mirroringEndpointGroupAssociations.delete
  • networksecurity.mirroringEndpointGroupAssociations.update
  • networksecurity.mirroringEndpointGroupAssociations.get
  • networksecurity.mirroringEndpointGroupAssociations.list

配额

如需查看与镜像端点组关联相关的配额,请参阅配额和限制

创建镜像端点组关联

您可以将一个或多个 VPC 网络与同一可用区中的特定镜像端点组相关联。

创建和管理镜像端点组页面上,您创建了一个镜像端点组,用于对镜像流量进行网络流量检查。 不过,您仍需指定哪些 VPC 的流量可以接受检查。为此,您需要创建项目级镜像端点组关联。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 点击端点组的名称。

  3. 关联部分中,点击创建

  4. 创建关联窗格中,点击添加端点组关联

  5. 对于项目网络,选择托管镜像端点组的项目和 VPC 网络。

  6. 点击完成

  7. 点击创建

gcloud

如需创建镜像端点组关联,请使用 gcloud network-security mirroring-endpoint-group-associations create 命令

 gcloud network-security mirroring-endpoint-group-associations \
     create ENDPOINT_GROUP_ASSOCIATION \
     --location global \
     --project PROJECT_NAME \
     --network NETWORK \
     --mirroring-endpoint-group ENDPOINT_GROUP \
     --no-async

替换以下内容:

  • ENDPOINT_GROUP_ASSOCIATION:镜像端点组关联的名称

  • PROJECT_NAME:网络的 Google Cloud 项目名称

  • NETWORK:网络的名称

  • ENDPOINT_GROUP:镜像端点组的名称

Terraform

如需创建镜像端点组关联,您可以使用 google_network_security_mirroring_endpoint_group_association 资源

resource "google_network_security_mirroring_endpoint_group_association" "default" {
  mirroring_endpoint_group_association_id = "mirroring-endpoint-group-association"
  location                                = "global"
  network                                 = google_compute_network.consumer_network.id
  mirroring_endpoint_group                = google_network_security_mirroring_endpoint_group.default.id
}

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

查看镜像端点关联

您可以查看可用区中特定镜像端点组关联的详细信息。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 点击镜像端点组的名称。关联部分列出了镜像端点关联的详细信息。

gcloud

如需查看镜像端点组关联,请使用 gcloud network-security mirroring-endpoint-group-associations describe 命令

 gcloud network-security mirroring-endpoint-group-associations \
     describe ENDPOINT_GROUP_ASSOCIATION \
     --location global \
     --project PROJECT_NAME

替换以下内容:

  • ENDPOINT_GROUP_ASSOCIATION:镜像端点组关联的名称

  • PROJECT_NAME:镜像端点组关联的项目名称

列出镜像端点组关联

您可以列出网络、项目或镜像端点组的镜像端点组关联。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 点击镜像端点组的名称。关联部分列出了镜像端点组的所有镜像端点关联。

gcloud

如需列出项目中的镜像端点组关联,请使用 gcloud network-security mirroring-endpoint-group-associations list 命令

 gcloud network-security mirroring-endpoint-group-associations list \
     --project PROJECT_NAME \
     --network NETWORK

替换以下内容:

  • PROJECT_NAME:镜像端点组关联的项目名称

  • NETWORK:VPC 网络的名称

删除镜像端点组关联

您可以删除特定 VPC 网络的镜像端点组关联。

控制台

  1. 在 Google Cloud 控制台中,前往端点组页面。

    前往“端点组”页面

  2. 点击镜像端点组的名称。

  3. 关联部分,选择要删除的镜像端点关联。

  4. 点击删除

  5. 再次点击删除进行确认。

gcloud

如需删除镜像端点组关联,请使用 gcloud network-security mirroring-endpoint-group-associations delete 命令

 gcloud network-security mirroring-endpoint-group-associations \
     delete ENDPOINT_GROUP_ASSOCIATION \
     --location global \
     --project PROJECT_NAME \
     --no-async

替换以下内容:

  • ENDPOINT_GROUP_ASSOCIATION:镜像端点组关联的名称

  • PROJECT_NAME:镜像端点组关联的项目名称

后续步骤