本文档介绍如何创建 Secure Access Connect 附件。有了 Secure Access Connect 连接,NCC 网关便可使用 SSE 产品处理流量。
准备工作
在开始之前,请执行以下操作:
所需的角色
如需获得创建连接所需的权限,请让您的管理员为您授予项目的 Compute Network Admin (roles/compute.networkAdmin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建 Secure Access Connect 连接
按照与您的 SSE 提供商对应的说明创建 Secure Access Connect 连接。
Palo Alto Networks Prisma Access
控制台
在 Google Cloud 控制台中,前往 Secure Access Connect 附件页面。
点击 Create Attachment。
输入要创建的附件的名称。
为附件选择区域。
为附件选择相应的大区 ID。您选择的 realm 必须附加到 Palo Alto Networks Prisma Access。
如果您尚未创建大区,请在大区字段中点击创建大区。按照说明创建大区。
选择要将 SAC 连接连接到的 NCC 网关 spoke。
点击创建。
gcloud
运行 gcloud network-security secure-access-connect attachments create 命令以创建附件:
gcloud network-security secure-access-connect attachments create ATTACHMENT_ID \
--project=PROJECT_ID \
--location=REGION \
--realm=REALM_ID \
--gateway=NCC_GATEWAY_SPOKE_ID
替换以下内容:
ATTACHMENT_ID:附件的名称PROJECT_ID:您的项目 IDREGION:连接所在的区域REALM_ID:您的大区 IDNCC_GATEWAY_SPOKE_ID:您的 NCC 网关 spoke 的 ID
API
如需在指定项目和位置中创建连接,请使用 projects.locations.sacAttachments.create 方法。
POST https://networksecurity.googleapis.com/v1/{parent=project/PROJECT_ID/locations/REGION}/sacAttachments
{
"sacRealm": "REALM_ID",
"nccGateway": "NCC_GATEWAY_SPOKE_ID"
}
替换以下内容:
PROJECT_ID:您的项目 IDREGION:连接所在的区域REALM_ID:您的大区 IDNCC_GATEWAY_SPOKE_ID:您的 NCC 网关 spoke 的 ID
Symantec Cloud SWG
如需创建附件,请执行以下操作。
控制台
在 Google Cloud 控制台中,前往 Secure Access Connect 附件页面。
点击 Create Attachment。
输入要创建的附件的名称。
为附件选择区域。
为附件选择相应的大区 ID。您选择的 realm 必须已附加到 Symantec Cloud SWG。
如果您尚未创建大区,请在大区字段中点击创建大区。按照说明创建大区。
选择要将 SAC 连接连接到的 NCC 网关 spoke。
(可选)为附件选择本地化国家/地区。
(可选)为本地化选择合适的时区。
点击创建。
gcloud
运行
gcloud network-security secure-access-connect realms describe命令,确定要将附件连接到的 Symantec 网站:gcloud network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_ID替换以下内容:
REALM_ID:您的大区的名称PROJECT_ID:您的项目 ID
输出类似于以下内容:
name: projects/project-id/locations/global/sacRealms/realm-id createTime: '...' updateTime: '...' securityService: SYMANTEC_CLOUD_SWG state: PARTNER_ATTACHED symantecOptions: availableSymantecSites: SYMANTEC_SITE_1 SYMANTEC_SITE_2 secretPath:SECRET_PATH symantecConnectionState: SUCCEEDEDavailableSymantecSites字段包含可供您连接的 Symantec Cloud SWG 网站。运行
gcloud network-security secure-access-connect attachments create命令以创建附件:gcloud network-security secure-access-connect attachments create ATTACHMENT_ID \ --project=PROJECT_ID \ --location=REGION \ --realm=REALM_ID \ --gateway=NCC_GATEWAY_SPOKE_ID \ --symantec-site=SYMANTEC_SITE \ --symantec-location-name=SYMANTEC_LOCATION_NAME --country=COUNTRY \ --timezone=TIMEZONE替换以下内容:
ATTACHMENT_ID:附件的名称PROJECT_ID:您的项目 IDREALM_ID:您的大区 IDNCC_GATEWAY_SPOKE_ID:您的 NCC 网关 spoke 的 IDSYMANTEC_SITE:要将附件连接到的 Symantec 网站必须是上一步中的
availableSymantecSites之一。SYMANTEC_LOCATION_NAME:要为 Symantec 位置指定的名称如需详细了解命名要求,请参阅 Symantec Location Management API 文档中的
Location schema。COUNTRY:采用 ISO 3166 alpha-2 国家/地区代码格式的可选国家/地区代码TIMEZONE:采用 IANA 时区格式的可选时区
API
如需在指定项目和位置中创建连接,请使用 projects.locations.sacAttachments.create 方法。
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/sacAttachments
{
"name": "ATTACHMENT_ID",
"sacRealm": "REALM_ID",
"nccGateway": "NCC_GATEWAY_SPOKE_ID",
"country": "COUNTRY",
"timeZone": "TIMEZONE",
"symantecOptions": {
"symantecLocationName": "SYMANTEC_LOCATION_NAME",
"symantecSite": "SYMANTEC_SITE"
}
}
替换以下内容:
PROJECT_ID:您的项目 IDREGION:连接所在的区域ATTACHMENT_ID:附件的名称REALM_ID:您的大区 IDNCC_GATEWAY_SPOKE_ID:您的 NCC 网关 spoke 的 IDCOUNTRY:采用 ISO 3166 alpha-2 国家/地区代码格式的可选国家/地区代码TIMEZONE:采用 IANA 时区格式的可选时区SYMANTEC_SITE:要将附件连接到的 Symantec 网站必须是上一步中的
availableSymantecSites之一。SYMANTEC_LOCATION_NAME:要为 Symantec 位置指定的名称如需详细了解命名要求,请参阅 Symantec Location Management API 文档中的
Location schema。