本文說明如何建立 Secure Access Connect 連結。Secure Access Connect 連結可讓 NCC 閘道透過 SSE 產品處理流量。
事前準備
開始之前,請先執行下列操作:
必要的角色
如要取得建立附件所需的權限,請要求管理員授予您專案的「Compute 網路管理員 」(roles/compute.networkAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
建立 Secure Access Connect 連結
按照 SSE 供應商對應的操作說明,建立 Secure Access Connect 附件。
Palo Alto Networks Prisma Access
gcloud
執行 gcloud beta network-security secure-access-connect attachments create 指令,建立附件:
gcloud beta network-security secure-access-connect attachments create ATTACHMENT_ID \
--project=PROJECT_ID \
--location=REGION \
--realm=REALM_ID \
--gateway=NCC_GATEWAY_SPOKE_ID
更改下列內容:
ATTACHMENT_ID:附件名稱PROJECT_ID:專案 IDREGION:連結的區域REALM_ID:領域的 IDNCC_GATEWAY_SPOKE_ID:NCC 閘道輪輻的 ID
API
如要在指定專案和位置建立附件,請使用 projects.locations.sacAttachments.create 方法。
POST https://networksecurity.googleapis.com/v1beta1/{parent=project/PROJECT_ID/locations/REGION}/sacAttachments
{
"sacRealm": "REALM_ID",
"nccGateway": "NCC_GATEWAY_SPOKE_ID"
}
更改下列內容:
PROJECT_ID:專案 IDREGION:連結的區域REALM_ID:領域的 IDNCC_GATEWAY_SPOKE_ID:NCC 閘道輪輻的 ID
Symantec Cloud SWG
gcloud
如要建立附件,請按照下列步驟操作:
執行
gcloud beta network-security secure-access-connect realms describe指令,找出要連結附件的 Symantec 網站:gcloud beta network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_ID更改下列內容:
REALM_ID:領域名稱PROJECT_ID:專案 ID
輸出結果會與下列內容相似:
name: projects/project-id/locations/global/sacRealms/realm-id createTime: '...' updateTime: '...' securityService: SYMANTEC_CLOUD_SWG state: PARTNER_ATTACHED symantecOptions: availableSymantecSites: SYMANTEC_SITE_1 SYMANTEC_SITE_2 secretPath:SECRET_PATH symantecConnectionState: SUCCEEDEDavailableSymantecSites欄位包含可供您連線的 Symantec Cloud SWG 網站。執行
gcloud beta network-security secure-access-connect attachments create指令,建立附件:gcloud beta network-security secure-access-connect attachments create ATTACHMENT_ID \ --project=PROJECT_ID \ --location=REGION \ --realm=REALM_ID \ --gateway=NCC_GATEWAY_SPOKE_ID \ --symantec-site=SYMANTEC_SITE \ --symantec-location-name=SYMANTEC_LOCATION_NAME --country=COUNTRY \ --timezone=TIMEZONE更改下列內容:
ATTACHMENT_ID:附件名稱PROJECT_ID:專案 IDREALM_ID:領域的 IDNCC_GATEWAY_SPOKE_ID:NCC 閘道輪輻的 IDSYMANTEC_SITE:要將附件連結至的 Symantec 網站必須是上一個步驟的
availableSymantecSites之一。SYMANTEC_LOCATION_NAME:要提供給 Symantec 位置的名稱如要進一步瞭解命名規定,請參閱 Symantec Location Management API 說明文件中的
Location schema。COUNTRY:選填的國家/地區代碼,格式為 ISO 3166 alpha-2 國家/地區代碼TIMEZONE:選用時區,格式為 IANA 時區
API
如要在指定專案和位置建立附件,請使用 projects.locations.sacAttachments.create 方法。
POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/REGION/sacAttachments
{
"name": "ATTACHMENT_ID",
"sacRealm": "REALM_ID",
"nccGateway": "NCC_GATEWAY_SPOKE_ID",
"country": "COUNTRY",
"timeZone": "TIMEZONE",
"symantecOptions": {
"symantecLocationName": "SYMANTEC_LOCATION_NAME",
"symantecSite": "SYMANTEC_SITE"
}
}
更改下列內容:
PROJECT_ID:專案 IDREGION:連結的區域ATTACHMENT_ID:附件名稱REALM_ID:領域的 IDNCC_GATEWAY_SPOKE_ID:NCC 閘道輪輻的 IDCOUNTRY:選填的國家/地區代碼,格式為 ISO 3166 alpha-2 國家/地區代碼TIMEZONE:選用時區,格式為 IANA 時區SYMANTEC_SITE:要將附件連結至的 Symantec 網站必須是上一個步驟的
availableSymantecSites之一。SYMANTEC_LOCATION_NAME:要提供給 Symantec 位置的名稱如要進一步瞭解命名規定,請參閱 Symantec Location Management API 說明文件中的
Location schema。