Menyiapkan integrasi di luar band untuk model produsen-konsumen

Integrasi Keamanan Jaringan menggunakan model produsen-konsumen untuk memeriksa dan memantau data. Solusi ini menggunakan integrasi di luar band dengan teknologi duplikasi paket untuk menduplikasikan traffic jaringan menggunakan peralatan virtual yang dikelola pengguna.

Tutorial ini menjelaskan cara membuat dan mengonfigurasi resource produsen dan konsumen untuk menyiapkan integrasi di luar band.

Tujuan

Tutorial ini menunjukkan cara menyelesaikan tugas-tugas berikut dalam project:

  1. Buat jaringan Virtual Private Cloud (VPC) kustom dengan subnet untuk produsen dan konsumen dalam project yang sama.
  2. Untuk produsen, buat dan konfigurasi resource produsen dan resource deployment pencerminan. Contoh resource produsen adalah Load Balancer Jaringan passthrough internal.
  3. Untuk konsumen, buat dan konfigurasi instance virtual machine (VM) klien dan server, endpoint resource pencerminan, dan kebijakan firewall untuk mencerminkan traffic klien-server.
  4. Uji koneksi dan verifikasi bahwa paket traffic jaringan dari VM konsumen diduplikasi ke resource duplikasi produsen.

Diagram berikut menunjukkan alur traffic antara jaringan VPC produsen dan konsumen.

Arsitektur deployment tingkat tinggi dari komponen produsen dan konsumen dalam satu project.
Gambar 1. Arsitektur deployment tingkat tinggi komponen produsen dan konsumen dalam satu project (klik untuk memperbesar).

Diagram sebelumnya menunjukkan hal berikut:

  • Traffic jaringan yang mengalir dari jaringan konsumen ke jaringan produsen melalui grup endpoint duplikasi.
  • Jaringan produsen mencakup instance VM, Load Balancer Jaringan passthrough internal, dan deployment mirroring.
  • Grup deployment mirroring jaringan produsen mencakup deployment mirroring zonal.
  • Jaringan konsumen mencakup instance VM klien dan server. Aturan dan kebijakan firewall dalam jaringan konsumen mengelola aliran traffic, dan grup profil keamanan dikaitkan dengan kebijakan firewall.
  • Jaringan konsumen ditautkan ke asosiasi grup endpoint duplikasi, yang menghubungkan jaringan konsumen ke grup endpoint duplikasi.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Aktifkan Compute Engine API untuk project Anda.
  7. Aktifkan Network Security API di Google Cloud project yang ingin Anda gunakan untuk penagihan.
  8. Pastikan Anda memiliki peran Admin Jaringan Compute (roles/compute.networkAdmin) yang diberikan di tingkat project dan peran Admin Profil Keamanan (roles/networksecurity.securityProfileAdmin) yang diberikan di tingkat organisasi.
  9. Jika Anda lebih suka bekerja dari command line, instal Google Cloud CLI. Untuk mengetahui informasi konseptual dan penginstalan tentang alat ini, lihat Ringkasan gcloud CLI.

    Catatan: Jika Anda belum pernah menjalankan Google Cloud CLI sebelumnya, jalankan gcloud init terlebih dahulu untuk menginisialisasi direktori gcloud CLI Anda.

  10. Dapatkan ID project Anda. Anda memerlukannya untuk membuat pencerminan dan resource endpoint. Jika menggunakan gcloud CLI, Anda dapat mengganti PROJECT_ID di sini atau nanti dalam perintah masing-masing.
  11. Dapatkan ID organisasi Anda. Anda memerlukannya untuk membuat resource tingkat organisasi, seperti profil keamanan dan grup profil keamanan. Jika menggunakan gcloud CLI, Anda dapat mengganti ORG_ID di sini atau nanti dalam perintah masing-masing.

Membuat resource produser

Di bagian ini, Anda akan membuat resource berikut untuk produsen:

  • Jaringan VPC kustom dengan subnet.
  • Grup instance tidak terkelola dengan instance VM yang mencatat paket Generic Network Virtualization Encapsulation (GENEVE) yang masuk.
  • Load Balancer Jaringan passthrough internal dengan layanan backend dan aturan penerusan.
  • Aturan firewall untuk mengizinkan Google Cloud health check.
  • Grup deployment mirroring dan deployment mirroring.

Membuat jaringan VPC kustom

Di bagian ini, Anda akan membuat jaringan VPC dengan subnet.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik Create VPC network.

  3. Untuk Name, masukkan producer-network.

  4. Untuk Description, masukkan Producer VPC network.

  5. Di bagian Subnets, lakukan tindakan berikut:

    1. Untuk Subnet creation mode, pilih Custom.
    2. Di bagian New subnet, masukkan informasi berikut:
      • Nama: producer-subnet
      • Region: us-west1
      • IP stack type: IPv4 (single-stack)
      • Rentang IPv4: 10.10.0.0/16
    3. Klik Done.

  6. Klik Create.

  7. Buka gcloud CLI dan jalankan perintah berikut untuk meningkatkan unit transmisi maksimum (MTU) jaringan konsol Google Cloud .

    gcloud compute networks update producer-network \
    --mtu=1856

    Dalam perintah, tentukan MTU 1856 byte, yang merupakan jumlah MTU default jaringan konsol (1460 byte) dan overhead enkapsulasi GENEVE Integrasi Keamanan Jaringan (396 byte). Google Cloud

gcloud

  1. Buat jaringan VPC.

    gcloud compute networks create producer-network \
    --subnet-mode=custom \
    --mtu=1856 \
    --description="Producer VPC network"

    Dalam perintah, tentukan MTU 1856 byte, yang merupakan jumlah MTU default jaringan konsol (1460 byte) dan overhead enkapsulasi GENEVE Integrasi Keamanan Jaringan (396 byte). Google Cloud

  2. Di jaringan VPC, buat subnet.

    gcloud compute networks subnets create producer-subnet \
    --network=producer-network \
    --region=us-west1 \
    --range=10.10.0.0/16

Buat grup instance tidak terkelola

Di bagian ini, Anda akan membuat grup instance yang tidak dikelola.

Konsol

  1. Di konsol Google Cloud , buka halaman Instance groups.

    Buka Instance groups

  2. Klik Create instance group.

  3. Klik New unmanaged instance group.

  4. Untuk Name, masukkan producer-instance-group.

  5. Di bagian Location, pilih us-west1 untuk Region, dan pilih us-west1-b untuk Zone.

  6. Di bagian Network and instances, lakukan hal berikut:

    1. Untuk Network, pilih producer-network.
    2. Untuk Subnetwork, pilih producer-subnet.

  7. Klik Create.

gcloud 

gcloud compute instance-groups unmanaged create producer-instance-group \
    --zone=us-west1-b

Mengonfigurasi komponen load balancer

Di bagian ini, Anda akan membuat komponen untuk Load Balancer Jaringan passthrough internal, termasuk layanan backend dan aturan penerusan.

Konsol

Mulai konfigurasi

  1. Di konsol Google Cloud , buka halaman Load balancing.

    Buka Load balancing

  2. Klik Create load balancer.
  3. Untuk Type of load balancer, pilih Network Load Balancer (TCP/UDP/SSL), lalu klik Next.
  4. Untuk Proxy or passthrough, pilih Passthrough load balancer, lalu klik Next.
  5. Untuk Public facing or internal, pilih Internal, lalu klik Next.
  6. Klik Configure.

Konfigurasi dasar

Di halaman Buat Load Balancer Jaringan passthrough internal, masukkan informasi berikut:

  • Nama load balancer: producer-ilb
  • Region: us-west1
  • Network: producer-network

Mengonfigurasi backend

  1. Klik Backend configuration.
  2. Untuk Protocol, pilih UDP.
  3. Dari daftar Health check, pilih Create a health check, masukkan informasi berikut, lalu klik Create.
    • Nama: producer-health-check
    • Cakupan: Regional
    • Port: 80
    • Protokol proxy: NONE
  4. Di bagian New Backend pada Backends, untuk IP stack type, pilih IPv4 (single-stack).

  5. Di Instance group, pilih grup instance producer-instance-group, lalu klik Done.

  6. Pastikan terdapat tanda centang biru di samping Backend configuration sebelum melanjutkan.

Mengonfigurasi frontend

  1. Di bagian New Frontend IP and port, masukkan informasi berikut, lalu klik Done:
    1. Untuk Name, masukkan producer-ilb-fr.
    2. Untuk Subnetwork, pilih producer-subnet.
    3. Untuk Ports, pilih Single, lalu di Port number, masukkan 6081.
    4. Di bagian Advanced configuration, untuk Packet mirroring, pilih Enable this load balancer for packet mirroring
    5. Pastikan terdapat tanda centang biru di samping Frontend configuration sebelum melanjutkan.

Meninjau konfigurasi

  1. Klik Review and finalize.
  2. Tinjau setelan konfigurasi load balancer Anda.
  3. Klik Create.

gcloud

  1. Buat health check regional.

    gcloud compute health-checks create tcp producer-health-check \
    --region=us-west1 \
    --port=80

  2. Buat layanan backend.

    gcloud compute backend-services create producer-backend-service \
    --protocol=UDP \
    --region=us-west1 \
    --health-checks=producer-health-check \
    --health-checks-region=us-west1 \
    --load-balancing-scheme=INTERNAL

  3. Buat aturan penerusan untuk layanan backend.

    gcloud compute forwarding-rules create producer-ilb-fr \
    --backend-service=producer-backend-service \
    --region=us-west1 \
    --network=producer-network \
    --subnet=producer-subnet \
    --ip-protocol=UDP \
    --load-balancing-scheme=INTERNAL \
    --is-mirroring-collector \
    --ports=6081

Buat instance VM dan tambahkan ke grup instance

Di bagian ini, Anda akan membuat instance VM dengan skrip startup yang menyiapkan server logging untuk paket yang dienkapsulasi GENEVE. Sebelum membuat instance VM, dapatkan alamat IP gateway subnet. Anda memerlukan alamat IP untuk skrip startup.

Konsol

Mendapatkan alamat IP gateway subnet

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik jaringan VPC producer-network.

  3. Klik tab Subnet.

  4. Di bagian Subnet, catat alamat IP gateway dari kolom Gateway.

Buat instance VM

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

    1. Klik Create instance.
    2. Untuk Name, masukkan producer-instance.
    3. Untuk Region, pilih us-west1.
    4. Untuk Zone, pilih us-west1-b.
    5. Tetapkan Machine type ke e2-micro.
    6. Klik Networking, lalu di bagian Network interfaces, klik Add a network interface dan tetapkan hal berikut:
      • Network: producer-network
      • Subnet: producer-subnet
      • External IPv4 address: None

    7. Klik Advanced dan masukkan skrip berikut di Startup script:

      #!/bin/bash
# Log incoming packets from the gateway IP and the GENEVE 6081 port.
iptables -A INPUT -p udp -s '"$GW_IP"'/32 --dport 6081 -j LOG --log-prefix "[NSI MIRRORING] "

# Spin up a simple server for health checks on port 80.
nohup python3 -u -m http.server 80 &

      Ganti kode berikut:

      • GW_IP: alamat IP gateway subnet.

    8. Klik Create.

Tambahkan instance VM ke grup instance

  1. Di konsol Google Cloud , buka halaman Instance groups.

    Buka Instance groups

  2. Klik producer-instance-group.

  3. Klik Edit.

  4. Di bagian VM instances, dari daftar Select VMs, pilih VM producer-instance.

  5. Klik Simpan.

gcloud

  1. Dapatkan alamat IP gateway subnet.

    GW_IP=$(gcloud compute networks subnets describe producer-subnet \
    --region=us-west1 \
    --format="get(gatewayAddress)")

  2. Buat instance VM.

    gcloud compute instances create producer-instance \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --machine-type=e2-micro \
    --zone=us-west1-b \
    --network-interface="subnet=producer-subnet,no-address" \
    --metadata=startup-script='#!/bin/bash
     # Log incoming packets from the gateway IP and the GENEVE 6081 port.
     iptables -A INPUT -p udp -s '"$GW_IP"'/32 --dport 6081 -j LOG --log-prefix "[NSI MIRRORING] "

     # Spin up a simple server for health checks on port 80.
     nohup python3 -u -m http.server 80 &'

  3. Tambahkan instance VM ke grup instance.

    gcloud compute instance-groups unmanaged add-instances producer-instance-group \
    --instances=producer-instance \
    --zone=us-west1-b

  4. Tambahkan grup instance ke layanan backend.

    gcloud compute backend-services add-backend producer-backend-service \
    --region=us-west1 \
    --instance-group=producer-instance-group \
    --instance-group-zone=us-west1-b

Membuat kebijakan firewall dan menambahkan aturan firewall

Di bagian ini, Anda akan membuat kebijakan firewall dan menambahkan aturan firewall untuk mengizinkan traffic UDP,pemeriksaan health check, dan koneksi SSH ke instance VM produsen melalui Identity-Aware Proxy (IAP). Google Cloud

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Klik Create firewall policy.

  3. Di kolom Name, masukkan producer-firewall-policy.

  4. Untuk Deployment scope, pilih Global, lalu klik Continue.

  5. Buat aturan berikut untuk kebijakan Anda.

    Izinkan traffic UDP dengan port GENEVE dari alamat IP gateway VPC

    1. Klik Create firewall rule dan konfigurasikan kolom berikut:
      • Prioritas: 100
      • Direction of traffic: Ingress
      • Tindakan terhadap kecocokan: Izinkan
      • Filter sumber > Rentang IP: GATEWAY_IP
      • Protocol and ports: Pilih Specified protocol and ports, centang kotak UDP, lalu di bagian Ports, tentukan 6081.
    2. Klik Create.

    Ganti GATEWAY_IP dengan alamat IP gateway subnet.

    Mengizinkan Google Cloud health check

    1. Klik Create firewall rule dan konfigurasikan kolom berikut:

      • Prioritas: 101
      • Direction of traffic: Ingress
      • Tindakan terhadap kecocokan: Izinkan
      • Rentang IP: 35.191.0.0/16 dan 130.211.0.0/22
      • Protocol and ports: Pilih Specified protocol and ports, centang kotak TCP, lalu di bagian Ports, tentukan 80.

    2. Klik Create.

    Izinkan koneksi SSH ke instance VM produsen melalui Identity-Aware Proxy

    1. Klik Create firewall rule dan konfigurasikan kolom berikut:
      • Prioritas: 102
      • Direction of traffic: Ingress
      • Tindakan terhadap kecocokan: Izinkan
      • Rentang IP: 35.235.240.0/20
      • Protocol and ports: Pilih Specified protocol and ports, centang kotak TCP, lalu di bagian Ports, tentukan 22.
    2. Klik Create.

  6. Untuk mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Kaitkan.

  7. Centang kotak producer-network.

  8. Klik Lanjutkan.

  9. Klik Create.

gcloud

  1. Buat kebijakan firewall jaringan global.

    gcloud compute network-firewall-policies create producer-firewall-policy \
    --global

  2. Kaitkan kebijakan firewall dengan jaringan produsen.

    gcloud compute network-firewall-policies associations create \
    --name=producer-firewall-policy-assoc \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy \
    --network=producer-network

  3. Buat aturan firewall untuk mengizinkan koneksi UDP dengan port GENEVE dari alamat IP gateway VPC.

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=udp:6081 \
    --src-ip-ranges=$GW_IP/32

  4. Buat aturan firewall untuk mengizinkan Google Cloud health check.

    gcloud compute network-firewall-policies rules create 101 \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=tcp:80 \
    --src-ip-ranges=35.191.0.0/16,130.211.0.0/22 # Google Cloud health check ranges

  5. Buat aturan firewall untuk mengizinkan koneksi SSH ke instance VM produsen melalui Identity-Aware Proxy.

    gcloud compute network-firewall-policies rules create 102 \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 # Google Cloud IAP range

Membuat resource pencerminan produsen

Di bagian ini, Anda akan membuat grup deployment pencerminan dan deployment pencerminan.

Konsol

  1. Di konsol Google Cloud , buka halaman Deployment groups.

    Buka Deployment groups

  2. Klik Create deployment group.

  3. Untuk Name, masukkan producer-deployment-group.

  4. Untuk Network, pilih producer-network.

  5. Untuk Purpose, pilih NSI out-of-band.

  6. Di bagian Mirroring deployments, klik Create mirroring deployment, tentukan kolom berikut, lalu klik Create:

    • Name: producer-deployment.
    • Region: us-west1.
    • Zona: us-west1-b.
    • Load balancer internal: producer-ilb.

  7. Klik Create.

gcloud

  1. Buat grup deployment duplikasi.

    gcloud network-security mirroring-deployment-groups create producer-deployment-group \
    --location=global \
    --network=projects/PROJECT_ID/global/networks/producer-network \
    --no-async

    Ganti PROJECT_ID dengan ID project Anda.

  2. Buat deployment mirroring.

    gcloud network-security mirroring-deployments create producer-deployment \
    --location=us-west1-b \
    --forwarding-rule=producer-ilb-fr \
    --forwarding-rule-location=us-west1 \
    --mirroring-deployment-group=projects/PROJECT_ID/locations/global/mirroringDeploymentGroups/producer-deployment-group \
    --no-async

Membuat resource konsumen

Di bagian ini, Anda akan membuat resource berikut untuk konsumen:

  • Jaringan VPC kustom dengan subnet
  • VM server dan klien
  • Kebijakan firewall dan aturan untuk mencerminkan traffic
  • Grup endpoint mirroring dan asosiasi grup endpoint mirroring
  • Profil keamanan dan grup profil keamanan

Membuat jaringan VPC kustom

Di bagian ini, Anda akan membuat jaringan VPC dengan subnet.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik Create VPC network.

  3. Untuk Name, masukkan consumer-network.

  4. Untuk Description, masukkan Consumer VPC network.

  5. Di bagian Subnets, lakukan tindakan berikut:

    1. Untuk Subnet creation mode, pilih Custom.
    2. Di bagian New subnet, masukkan informasi berikut:
      • Nama: consumer-subnet
      • Region: us-west1
      • IP stack type: IPv4 (single-stack)
      • Rentang IPv4: 10.11.0.0/16
    3. Klik Done.

  6. Klik Create.

gcloud

  1. Buat jaringan VPC konsumen.

    gcloud compute networks create consumer-network \
    --subnet-mode=custom \
    --description="Consumer VPC network"

  2. Di jaringan VPC, buat subnet.

    gcloud compute networks subnets create consumer-subnet \
    --network=consumer-network \
    --region=us-west1 \
    --range=10.11.0.0/16

Membuat VM server dan klien

Di bagian ini, Anda akan membuat VM server dan klien.

Konsol

Membuat VM server

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Klik Create instance.

  3. Setel Nama ke consumer-server-vm.

  4. Setel Wilayah ke us-west1.

  5. Setel Zona ke us-west1-b.

  6. Tetapkan Machine type ke e2-micro.

  7. Klik Networking, lalu di bagian Network interfaces, klik Add a network interface dan tetapkan hal berikut:

    • Network: consumer-network
    • Subnet: consumer-subnet
    • External IPv4 address: None

  8. Klik Advanced dan masukkan skrip berikut di Startup script: 

    echo success > /tmp/connection_test && nohup python3 -u -m http.server --directory /tmp 8000 &

  9. Klik Create.

Membuat VM klien

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Klik Create instance.

  3. Setel Nama ke consumer-client-vm.

  4. Setel Wilayah ke us-west1.

  5. Setel Zona ke us-west1-b.

  6. Tetapkan Machine type ke e2-micro.

  7. Klik Networking, lalu di bagian Network interfaces, klik Add a network interface dan tetapkan hal berikut:

    • Network: consumer-network
    • Subnet: consumer-subnet
    • External IPv4 address: None

  8. Klik Create.

gcloud

  1. Buat VM server.

    gcloud compute instances create consumer-server-vm \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --machine-type=e2-micro \
    --zone=us-west1-b \
    --network-interface="subnet=consumer-subnet,no-address" \
    --metadata=startup-script="echo success > /tmp/connection_test && nohup python3 -u -m http.server --directory /tmp 8000 &"

  2. Buat VM klien.

    gcloud compute instances create consumer-client-vm \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --machine-type=e2-micro \
    --zone=us-west1-b \
    --network-interface="subnet=consumer-subnet,no-address"

Membuat kebijakan firewall untuk mengizinkan traffic masuk

Di bagian ini, Anda akan membuat kebijakan firewall dan menambahkan aturan firewall untuk mengizinkan traffic ingress ke VM konsumen.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Klik Create firewall policy.

  3. Di kolom Name, masukkan consumer-firewall-policy.

  4. Untuk Deployment scope, pilih Global, lalu klik Continue.

  5. Klik Create firewall rule, konfigurasikan kolom berikut, lalu klik Create:

    • Prioritas: 101
    • Direction of traffic: Ingress
    • Tindakan terhadap kecocokan: Izinkan
    • Filter sumber > Rentang IP: 35.235.240.0/20
    • Protocol and ports: Pilih Specified protocol and ports, centang kotak TCP, lalu di bagian Ports, tentukan 22.

    Rentang IPv4 35.235.240.0/20 berisi semua alamat IP yang digunakan Identity-Aware Proxy untuk penerusan TCP. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan project untuk penerusan TCP IAP.

  6. Untuk mengizinkan traffic pada port TCP 8000 ke VM server, klik Create firewall rule dan konfigurasi kolom berikut:

    • Prioritas: 102
    • Direction of traffic: Ingress
    • Tindakan terhadap kecocokan: Izinkan
    • Filter sumber > Rentang IP: 10.11.0.0/16
    • Protocol and ports: Pilih Specified protocol and ports, centang kotak TCP, lalu di bagian Ports, tentukan 8000.
    • Klik Buat

  7. Untuk mengaitkan kebijakan dengan jaringan, klik Lanjutkan, lalu klik Kaitkan.

  8. Centang kotak consumer-network.

  9. Klik Lanjutkan.

  10. Klik Create.

gcloud

  1. Buat kebijakan firewall jaringan global.

    gcloud compute network-firewall-policies create consumer-firewall-policy \
    --global

  2. Kaitkan kebijakan firewall dengan jaringan konsumen.

    gcloud compute network-firewall-policies associations create \
    --name=consumer-firewall-policy-assoc \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy \
    --network=consumer-network

  3. Buat aturan izinkan SSH untuk mengizinkan koneksi SSH ke instance VM klien melalui Identity-Aware Proxy.

    gcloud compute network-firewall-policies rules create 101 \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 # Google Cloud IAP range

    Rentang IPv4 35.235.240.0/20 berisi semua alamat IP yang digunakan IAP untuk penerusan TCP. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan project untuk penerusan TCP IAP.

  4. Buat aturan firewall untuk mengizinkan traffic di port TCP 8000 ke VM server.

    gcloud compute network-firewall-policies rules create 102 \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=tcp:8000 \
    --src-ip-ranges=10.11.0.0/16

Membuat grup endpoint konsumen

Di bagian ini, Anda akan membuat grup endpoint pencerminan dan asosiasi grup endpoint pencerminan.

Konsol

  1. Di konsol Google Cloud , buka halaman Endpoint groups.

    Buka Endpoint groups

  2. Klik Create endpoint group.

  3. Untuk Name, masukkan consumer-endpoint-group.

  4. Untuk Purpose, pilih NSI out-of-band.

  5. Untuk Deployment group, pilih In project.

  6. Untuk Deployment group name, masukkan producer-deployment-group.

  7. Klik Lanjutkan.

  8. Klik Tambahkan asosiasi grup endpoint.

  9. Untuk Project, pilih project Anda saat ini.

  10. Untuk Network, pilih consumer-network.

  11. Klik Create.

gcloud

  1. Buat grup endpoint duplikasi.

    gcloud network-security mirroring-endpoint-groups create consumer-endpoint-group \
    --location=global \
    --mirroring-deployment-group=projects/PROJECT_ID/locations/global/mirroringDeploymentGroups/producer-deployment-group \
    --no-async

    Ganti PROJECT_ID dengan ID project Anda.

  2. Buat asosiasi grup endpoint duplikasi.

    gcloud network-security mirroring-endpoint-group-associations create consumer-endpoint-group-association \
    --location=global \
    --mirroring-endpoint-group=projects/PROJECT_ID/locations/global/mirroringEndpointGroups/consumer-endpoint-group \
    --network=consumer-network \
    --no-async

Membuat profil keamanan dan grup profil keamanan

Buat grup profil keamanan dan profil keamanan kustom untuk mencerminkan traffic.

Konsol

Membuat profil keamanan kustom

  1. Di konsol Google Cloud , buka halaman Security profiles.

    Buka Profil keamanan

  2. Dari pemilih project, pilih organisasi Anda.

  3. Di tab Security profiles, klik Create profile.

  4. Untuk Name, masukkan consumer-security-profile.

  5. Untuk Purpose, pilih NSI out-of-band.

  6. Untuk Project, pilih project Anda saat ini.

  7. Untuk Endpoint group, pilih consumer-endpoint-group.

  8. Klik Create.

Membuat grup profil keamanan

  1. Di konsol Google Cloud , buka halaman Security profile groups.

    Buka Grup profil keamanan

  2. Dari pemilih project, pilih organisasi Anda.

  3. Di tab Grup profil keamanan, klik Buat grup profil.

  4. Untuk Name, masukkan consumer-security-profile-group.

  5. Untuk Purpose, pilih NSI out-of-band.

  6. Untuk Custom mirroring profile, pilih consumer-security-profile.

  7. Klik Create.

gcloud

  1. Buat profil keamanan pencerminan kustom.

    gcloud network-security security-profiles custom-mirroring create consumer-security-profile \
    --location=global \
    --organization=ORG_ID \
    --mirroring-endpoint-group=projects/PROJECT_ID/locations/global/mirroringEndpointGroups/consumer-endpoint-group \
    --billing-project=PROJECT_ID \
    --no-async

    Ganti kode berikut:

    • ORG_ID: ID organisasi Anda. Profil keamanan adalah resource tingkat organisasi. Untuk membuatnya, Anda memerlukan peran Admin Profil Keamanan (networksecurity.securityProfileAdmin) di tingkat organisasi.
    • PROJECT_ID: ID project Anda.

  2. Buat grup profil keamanan pencerminan.

    gcloud network-security security-profile-groups create consumer-security-profile-group \
    --location=global \
    --organization=ORG_ID \
    --custom-mirroring-profile=organizations/ORG_ID/locations/global/securityProfiles/consumer-security-profile \
    --billing-project=PROJECT_ID \
    --no-async

    Ganti kode berikut:

    • ORG_ID: ID organisasi Anda. Grup profil keamanan adalah resource tingkat organisasi. Untuk membuatnya, Anda memerlukan peran Admin Profil Keamanan (networksecurity.securityProfileAdmin) di tingkat organisasi.
    • PROJECT_ID: ID project Anda.

Membuat aturan kebijakan firewall untuk mencerminkan traffic

Di bagian ini, Anda akan membuat aturan mirroring untuk mem-mirror traffic.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Klik consumer-firewall-policy.

  3. Klik tab Aturan pencerminan.

  4. Klik Create mirroring rule dan konfigurasikan kolom berikut:

    • Prioritas: 100
    • Direction of traffic: Ingress
    • Tindakan terhadap kecocokan: Mirror
    • Grup profil keamanan: consumer-security-profile-group
    • Sumber: IPv4
    • Rentang IP: 10.11.0.0/16
    • Protocol and ports: pilih Specified protocol and ports, centang kotak TCP, lalu di Ports, tentukan 8000.

  5. Klik Create.

gcloud

  1. Tambahkan aturan firewall untuk mencerminkan traffic di port TCP 8000 di VM server.

    gcloud compute network-firewall-policies mirroring-rules create 100 \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy \
    --action=mirror \
    --security-profile-group=organizations/ORG_ID/locations/global/securityProfileGroups/consumer-security-profile-group \
    --direction=INGRESS \
    --layer4-configs=tcp:8000 \
    --src-ip-ranges=10.11.0.0/16

    Ganti ORG_ID dengan ID organisasi Anda.

Menguji koneksi

Di bagian ini, Anda akan mengirimkan beberapa traffic jaringan dari instance VM klien konsumen ke instance VM server konsumen, lalu memeriksa log instance VM produsen untuk memverifikasi mirroring.

  1. Jalankan perintah berikut untuk terhubung ke instance VM klien konsumen melalui SSH, dan kirim permintaan ke instance VM server konsumen.

    gcloud compute ssh consumer-client-vm \
    --tunnel-through-iap \
    --zone=us-west1-b \
    --command="curl -m 3 -s http://consumer-server-vm:8000/connection_test || echo fail"

    Anda melihat pesan success saat menjalankan perintah sebelumnya. Menunjukkan bahwa traffic dikirim dari klien ke server.

  2. Jalankan perintah berikut untuk memeriksa log instance VM produsen.

    gcloud compute ssh producer-instance \
    --tunnel-through-iap \
    --zone=us-west1-b \
    --command="cat /var/log/syslog | grep 'NSI MIRRORING'"

    Anda akan melihat pesan yang mirip dengan [NSI MIRRORING] IN=ens4 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=10.10.0.1 DST=10.10.0.2 LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=45554 DPT=6081 LEN=116. Hal ini menunjukkan bahwa traffic klien-server dicerminkan oleh instance VM produsen.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Menghapus resource konsumen

  1. Batalkan pengaitan kebijakan firewall dari jaringan konsumen dan hapus kebijakan firewall.

    Konsol

    1. Di konsol Google Cloud , buka halaman Firewall policies.

      Buka Kebijakan firewall

    2. Klik kebijakan consumer-firewall-policy.

    3. Klik tab Pengaitan.

    4. Pilih kotak centang pengaitan consumer-network.

    5. Klik Hapus atribusi.

    6. Klik Hapus.

    7. Di bagian atas halaman, klik Hapus.

    8. Klik Delete lagi untuk mengonfirmasi.

    gcloud

    1. Hapus atribusi.

      gcloud compute network-firewall-policies associations delete \
    --name=consumer-firewall-policy-assoc \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy

    2. Hapus kebijakan firewall.

      gcloud compute network-firewall-policies delete consumer-firewall-policy \
    --global

  2. Hapus grup profil keamanan.

    Konsol

    1. Di konsol Google Cloud , buka halaman Security profiles.

      Buka Profil keamanan

    2. Dari pemilih project, pilih organisasi Anda.

    3. Di tab Grup profil keamanan, pilih grup profil keamanan consumer-security-profile-group, lalu klik Hapus.

    4. Klik Delete lagi untuk mengonfirmasi.

    gcloud 

    gcloud network-security security-profile-groups delete consumer-security-profile-group \
    --location=global \
    --organization=ORG_ID \
    --billing-project=PROJECT_ID \
    --quiet

    Ganti kode berikut:

    • ORG_ID: ID organisasi Anda
    • PROJECT_ID: project ID Anda

  3. Hapus profil keamanan.

    Konsol

    1. Di konsol Google Cloud , buka halaman Security profiles.

      Buka Profil keamanan

    2. Dari pemilih project, pilih organisasi Anda.

    3. Di tab Profil keamanan, pilih profil keamanan consumer-security-profile, lalu klik Hapus.

    4. Klik Delete lagi untuk mengonfirmasi.

    gcloud 

    gcloud network-security security-profiles custom-mirroring delete consumer-security-profile \
    --location=global \
    --organization=ORG_ID \
    --billing-project=PROJECT_ID \
    --quiet

  4. Hapus asosiasi grup endpoint duplikasi.

    Konsol

    1. Di konsol Google Cloud , buka halaman Endpoint groups.

      Buka Endpoint groups

    2. Klik consumer-endpoint-group.

    3. Pilih atribusi consumer-network, lalu klik Hapus.

    4. Klik Delete lagi untuk mengonfirmasi.

    gcloud 

    gcloud network-security mirroring-endpoint-group-associations delete consumer-endpoint-group-association \
    --location=global \
    --no-async

  5. Hapus grup endpoint duplikasi.

    Konsol

    1. Di konsol Google Cloud , buka halaman Endpoint groups.

      Buka Endpoint groups

    2. Pilih consumer-endpoint-group, lalu klik Hapus.

    3. Klik Delete lagi untuk mengonfirmasi.

    gcloud 

    gcloud network-security mirroring-endpoint-groups delete consumer-endpoint-group \
    --location=global \
    --no-async

  6. Hapus VM server dan klien.

    Konsol

    1. Di konsol Google Cloud , buka halaman VM instances.

      Buka instance VM

    2. Pilih kotak centang consumer-client-vm dan consumer-server-vm, lalu klik Hapus.

    3. Klik Delete lagi untuk mengonfirmasi.

    gcloud

    1. Hapus VM klien.

      gcloud compute instances delete consumer-client-vm \
    --zone=us-west1-b \
    --quiet

    2. Hapus VM server.

      gcloud compute instances delete consumer-server-vm \
    --zone=us-west1-b \
    --quiet

  7. Hapus jaringan dan subnet konsumen.

    Konsol

    1. Di konsol Google Cloud , buka halaman VPC networks.

      Buka VPC networks

    2. Klik consumer-network.

    3. Di tab Subnets, centang kotak consumer-subnet, lalu klik Delete.

    4. Klik Delete lagi untuk mengonfirmasi.

    5. Klik Delete VPC network.

    6. Di kolom teks, masukkan consumer-network, lalu klik Hapus.

    gcloud

    1. Hapus subnet.

      gcloud compute networks subnets delete consumer-subnet \
    --region=us-west1 \
    --quiet

    2. Hapus jaringan VPC.

      gcloud compute networks delete consumer-network \
    --quiet

Menghapus resource produser

  1. Batalkan pengaitan kebijakan firewall dari jaringan produsen dan hapus kebijakan firewall.

    Konsol

    1. Di konsol Google Cloud , buka halaman Firewall policies.

      Buka Kebijakan firewall

    2. Klik kebijakan producer-firewall-policy.

    3. Klik tab Pengaitan.

    4. Pilih kotak centang pengaitan producer-network.

    5. Klik Hapus atribusi.

    6. Klik Hapus.

    7. Klik Hapus.

    8. Klik Delete lagi untuk mengonfirmasi.

    gcloud

    1. Hapus atribusi.

      gcloud compute network-firewall-policies associations delete \
    --name=producer-firewall-policy-assoc \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy

    2. Hapus kebijakan firewall.

      gcloud compute network-firewall-policies delete producer-firewall-policy \
    --global

  2. Hapus deployment duplikasi dan grup deployment duplikasi.

    Konsol

    1. Di konsol Google Cloud , buka halaman Deployment groups.

      Buka Deployment groups

    2. Klik producer-deployment-group.

    3. Hapus producer-deployment.

      1. Centang kotak producer-deployment, lalu klik Hapus.
      2. Klik Delete lagi untuk mengonfirmasi.

    4. Klik tombol Hapus.

    5. Klik Delete lagi untuk mengonfirmasi.

    gcloud

    1. Hapus deployment pencerminan.

      gcloud network-security mirroring-deployments delete producer-deployment \
    --location=us-west1-b \
    --no-async

    2. Hapus grup deployment mirroring.

      gcloud network-security mirroring-deployment-groups delete producer-deployment-group \
    --location=global \
    --no-async

  3. Hapus resource load balancer.

    Konsol

    1. Di konsol Google Cloud , buka halaman Load balancing.

      Buka Load balancing

    2. Centang kotak producer-ilb.

    3. Klik tombol Delete di bagian atas halaman.

    4. Centang kotak producer-health-check, lalu klik Delete load balancer and the selected resources.

    gcloud

    1. Hapus aturan penerusan.

      gcloud compute forwarding-rules delete producer-ilb-fr \
    --region=us-west1 \
    --quiet

    2. Hapus layanan backend.

      gcloud compute backend-services delete producer-backend-service \
    --region=us-west1 \
    --quiet

    3. Hapus health check.

      gcloud compute health-checks delete producer-health-check \
    --region=us-west1 \
    --quiet

  4. Hapus instance VM produser.

    Konsol

    1. Di konsol Google Cloud , buka halaman VM instances.

      Buka instance VM

    2. Centang kotak producer-instance, lalu klik Hapus.

    3. Klik Delete lagi untuk mengonfirmasi.

    gcloud 

    gcloud compute instances delete producer-instance \
    --zone=us-west1-b \
    --quiet

  5. Hapus grup instance.

    Konsol

    1. Di konsol Google Cloud , buka halaman Instance groups.

      Buka Instance groups

    2. Centang kotak producer-instance-group.

    3. Klik Hapus.

    4. Di jendela konfirmasi, klik Delete.

    gcloud 

    gcloud compute instance-groups unmanaged delete producer-instance-group \
    --zone=us-west1-b \
    --quiet

  6. Hapus jaringan dan subnet produser.

    Konsol

    1. Di konsol Google Cloud , buka halaman VPC networks.

      Buka VPC networks

    2. Klik producer-network.

    3. Di tab Subnets, centang kotak producer-subnet lalu klik Delete.

    4. Klik Delete lagi untuk mengonfirmasi.

    5. Klik Delete VPC network.

    6. Di kolom teks, masukkan producer-network, lalu klik Hapus.

    gcloud

    1. Hapus subnet.

      gcloud compute networks subnets delete producer-subnet \
    --region=us-west1 \
    --quiet

    2. Hapus jaringan.

      gcloud compute networks delete producer-network \
    --quiet

Langkah berikutnya