이 문서에서는 보안 액세스 연결을 만드는 방법을 설명합니다. 보안 액세스 연결의 연결을 사용하면 NCC 게이트웨이가 SSE 제품으로 트래픽을 처리할 수 있습니다.
시작하기 전에
시작하기 전에 다음을 수행합니다.
필요한 역할
연결을 만드는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Compute 네트워크 관리자 (roles/compute.networkAdmin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
Secure Access Connect 연결 만들기
SSE 제공업체에 해당하는 안내에 따라 보안 액세스 연결 연결을 만듭니다.
Palo Alto Networks Prisma Access
gcloud
gcloud beta network-security secure-access-connect attachments create 명령어를 실행하여 첨부파일을 만듭니다.
gcloud beta network-security secure-access-connect attachments create ATTACHMENT_ID \
--project=PROJECT_ID \
--location=REGION \
--realm=REALM_ID \
--gateway=NCC_GATEWAY_SPOKE_ID
다음을 바꿉니다.
ATTACHMENT_ID: 첨부파일의 이름PROJECT_ID: 프로젝트 ID입니다.REGION: 연결의 리전REALM_ID: 렐름의 IDNCC_GATEWAY_SPOKE_ID: NCC 게이트웨이 스포크의 ID
API
지정된 프로젝트와 위치에 연결을 만들려면 projects.locations.sacAttachments.create 메서드를 사용하세요.
POST https://networksecurity.googleapis.com/v1beta1/{parent=project/PROJECT_ID/locations/REGION}/sacAttachments
{
"sacRealm": "REALM_ID",
"nccGateway": "NCC_GATEWAY_SPOKE_ID"
}
다음을 바꿉니다.
PROJECT_ID: 프로젝트 ID입니다.REGION: 연결의 리전REALM_ID: 렐름의 IDNCC_GATEWAY_SPOKE_ID: NCC 게이트웨이 스포크의 ID
Symantec Cloud SWG
gcloud
다음과 같이 첨부파일을 만듭니다.
gcloud beta network-security secure-access-connect realms describe명령어를 실행하여 첨부파일을 연결할 Symantec 사이트를 확인합니다.gcloud beta network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_ID다음을 바꿉니다.
REALM_ID: 영역 이름PROJECT_ID: 프로젝트 ID입니다.
출력은 다음과 비슷합니다.
name: projects/project-id/locations/global/sacRealms/realm-id createTime: '...' updateTime: '...' securityService: SYMANTEC_CLOUD_SWG state: PARTNER_ATTACHED symantecOptions: availableSymantecSites: SYMANTEC_SITE_1 SYMANTEC_SITE_2 secretPath:SECRET_PATH symantecConnectionState: SUCCEEDEDavailableSymantecSites필드에는 연결할 수 있는 Symantec Cloud SWG 사이트가 포함되어 있습니다.gcloud beta network-security secure-access-connect attachments create명령어를 실행하여 첨부파일을 만듭니다.gcloud beta network-security secure-access-connect attachments create ATTACHMENT_ID \ --project=PROJECT_ID \ --location=REGION \ --realm=REALM_ID \ --gateway=NCC_GATEWAY_SPOKE_ID \ --symantec-site=SYMANTEC_SITE \ --symantec-location-name=SYMANTEC_LOCATION_NAME --country=COUNTRY \ --timezone=TIMEZONE다음을 바꿉니다.
ATTACHMENT_ID: 첨부파일의 이름PROJECT_ID: 프로젝트 ID입니다.REALM_ID: 렐름의 IDNCC_GATEWAY_SPOKE_ID: NCC 게이트웨이 스포크의 IDSYMANTEC_SITE: 연결할 첨부파일의 Symantec 사이트이전 단계의
availableSymantecSites중 하나여야 합니다.SYMANTEC_LOCATION_NAME: Symantec 위치에 부여할 이름이름 지정 요구사항에 대한 자세한 내용은 Symantec Location Management API 문서의
Location schema를 참고하세요.COUNTRY: ISO 3166 alpha-2 국가 코드 형식의 선택적 국가 코드TIMEZONE: IANA 시간대 형식의 선택적 시간대
API
지정된 프로젝트와 위치에 연결을 만들려면 projects.locations.sacAttachments.create 메서드를 사용하세요.
POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/REGION/sacAttachments
{
"name": "ATTACHMENT_ID",
"sacRealm": "REALM_ID",
"nccGateway": "NCC_GATEWAY_SPOKE_ID",
"country": "COUNTRY",
"timeZone": "TIMEZONE",
"symantecOptions": {
"symantecLocationName": "SYMANTEC_LOCATION_NAME",
"symantecSite": "SYMANTEC_SITE"
}
}
다음을 바꿉니다.
PROJECT_ID: 프로젝트 ID입니다.REGION: 연결의 리전ATTACHMENT_ID: 첨부파일의 이름REALM_ID: 렐름의 IDNCC_GATEWAY_SPOKE_ID: NCC 게이트웨이 스포크의 IDCOUNTRY: ISO 3166 alpha-2 국가 코드 형식의 선택적 국가 코드TIMEZONE: IANA 시간대 형식의 선택적 시간대SYMANTEC_SITE: 연결할 첨부파일의 Symantec 사이트이전 단계의
availableSymantecSites중 하나여야 합니다.SYMANTEC_LOCATION_NAME: Symantec 위치에 부여할 이름이름 지정 요구사항에 대한 자세한 내용은 Symantec Location Management API 문서의
Location schema를 참고하세요.