建立及管理鏡像端點群組關聯

建立鏡像端點群組關聯,將鏡像端點群組連結至虛擬私有雲 (VPC) 網路。您可以建立全域鏡像端點群組,並將其與一或多個 VPC 網路建立關聯,藉此監控工作負載。

本頁說明如何建立及管理鏡像端點群組關聯。

事前準備

角色

如要取得建立、查看或刪除鏡像端點群組關聯所需的權限,請要求管理員授予您專案的必要Identity and Access Management (IAM) 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

如要查看這個頁面列出的作業進度,請確認您的使用者角色具有下列 Mirroring 端點管理員角色 (roles/networksecurity.mirroringEndpointAdmin) 和 Mirroring 端點使用者 (roles/networksecurity.mirroringEndpointUser) 角色權限:

  • networksecurity.mirroringEndpointGroupAssociations.create
  • networksecurity.mirroringEndpointGroupAssociations.delete
  • networksecurity.mirroringEndpointGroupAssociations.update
  • networksecurity.mirroringEndpointGroupAssociations.get
  • networksecurity.mirroringEndpointGroupAssociations.list

配額

如要查看與鏡像端點群組關聯相關的配額,請參閱「配額與限制」。

建立鏡像端點群組關聯

您可以將一或多個虛擬私有雲網路,與同一區域中的特定鏡像端點群組建立關聯。

在「建立及管理鏡像端點群組」頁面中,您建立了一個鏡像端點群組,以便檢查鏡像流量的網路流量。不過,您仍須指定可檢查流量的 VPC。如要這麼做,請建立專案層級的鏡像端點群組關聯。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下端點群組名稱。

  3. 在「關聯」部分,按一下「建立」

  4. 在「建立關聯」窗格中,按一下「新增端點群組關聯」

  5. 在「Project」(專案) 和「Network」(網路) 中,選取代管鏡像端點群組的專案和虛擬私有雲網路。

  6. 按一下 [完成]

  7. 點選「建立」

gcloud

如要建立鏡像端點群組關聯,請使用 gcloud network-security mirroring-endpoint-group-associations create 指令

 gcloud network-security mirroring-endpoint-group-associations \
     create ENDPOINT_GROUP_ASSOCIATION \
     --location global \
     --project PROJECT_NAME \
     --network NETWORK \
     --mirroring-endpoint-group ENDPOINT_GROUP \
     --no-async

更改下列內容:

  • ENDPOINT_GROUP_ASSOCIATION:鏡像端點群組關聯的名稱

  • PROJECT_NAME:網路的 Google Cloud 專案名稱

  • NETWORK:網路名稱

  • ENDPOINT_GROUP:鏡像端點群組的名稱

Terraform

如要建立鏡像端點群組關聯,可以使用 google_network_security_mirroring_endpoint_group_association 資源

resource "google_network_security_mirroring_endpoint_group_association" "default" {
  mirroring_endpoint_group_association_id = "mirroring-endpoint-group-association"
  location                                = "global"
  network                                 = google_compute_network.consumer_network.id
  mirroring_endpoint_group                = google_network_security_mirroring_endpoint_group.default.id
}

如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。

查看鏡像端點關聯

您可以查看區域中特定鏡像端點群組關聯的詳細資料。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下鏡像端點群組的名稱。「關聯」部分會列出鏡像端點關聯的詳細資料。

gcloud

如要查看鏡像端點群組關聯,請使用 gcloud network-security mirroring-endpoint-group-associations describe 指令

 gcloud network-security mirroring-endpoint-group-associations \
     describe ENDPOINT_GROUP_ASSOCIATION \
     --location global \
     --project PROJECT_NAME

更改下列內容:

  • ENDPOINT_GROUP_ASSOCIATION:鏡像端點群組關聯的名稱

  • PROJECT_NAME:鏡像端點群組關聯的專案名稱

列出鏡像端點群組關聯

您可以列出網路、專案或鏡像端點群組的鏡像端點群組關聯。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下鏡像端點群組的名稱。「關聯」部分會列出鏡像端點群組的所有鏡像端點關聯。

gcloud

如要列出專案中的鏡像端點群組關聯,請使用 gcloud network-security mirroring-endpoint-group-associations list 指令

 gcloud network-security mirroring-endpoint-group-associations list \
     --project PROJECT_NAME \
     --network NETWORK

更改下列內容:

  • PROJECT_NAME:鏡像端點群組關聯的專案名稱

  • NETWORK:虛擬私有雲網路的名稱

刪除 Mirroring 端點群組關聯

您可以刪除特定 VPC 網路的 Mirroring 端點群組關聯。

控制台

  1. 前往 Google Cloud 控制台的「Endpoint groups」(端點群組) 頁面。

    前往端點群組

  2. 按一下鏡像端點群組的名稱。

  3. 在「關聯」部分,選取要刪除的 Mirroring 端點關聯。

  4. 點選「刪除」。

  5. 再按一下 [刪除] 加以確認。

gcloud

如要刪除 Mirroring 端點群組關聯,請使用 gcloud network-security mirroring-endpoint-group-associations delete 指令

 gcloud network-security mirroring-endpoint-group-associations \
     delete ENDPOINT_GROUP_ASSOCIATION \
     --location global \
     --project PROJECT_NAME \
     --no-async

更改下列內容:

  • ENDPOINT_GROUP_ASSOCIATION:鏡像端點群組關聯的名稱

  • PROJECT_NAME:鏡像端點群組關聯的專案名稱

後續步驟