创建连接

本文档介绍如何创建 Secure Access Connect 附件。有了 Secure Access Connect 连接,NCC 网关便可使用 SSE 产品处理流量。

准备工作

在开始之前,请执行以下操作:

所需的角色

如需获得创建连接所需的权限,请让您的管理员为您授予项目的 Compute Network Admin (roles/compute.networkAdmin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

创建 Secure Access Connect 连接

按照与您的 SSE 提供商对应的说明创建 Secure Access Connect 连接。

Palo Alto Networks Prisma Access

gcloud

运行 gcloud beta network-security secure-access-connect attachments create 命令以创建附件:

  gcloud beta network-security secure-access-connect attachments create ATTACHMENT_ID \
      --project=PROJECT_ID \
      --location=REGION \
      --realm=REALM_ID \
      --gateway=NCC_GATEWAY_SPOKE_ID

替换以下内容:

  • ATTACHMENT_ID:附件的名称
  • PROJECT_ID:您的项目 ID
  • REGION:连接所在的区域
  • REALM_ID:您的 Realm 的 ID
  • NCC_GATEWAY_SPOKE_ID:您的 NCC 网关 spoke 的 ID

API

如需在指定项目和位置中创建连接,请使用 projects.locations.sacAttachments.create 方法

POST https://networksecurity.googleapis.com/v1beta1/{parent=project/PROJECT_ID/locations/REGION}/sacAttachments
{
  "sacRealm": "REALM_ID",
  "nccGateway": "NCC_GATEWAY_SPOKE_ID"
}

替换以下内容:

  • PROJECT_ID:您的项目 ID
  • REGION:连接所在的区域
  • REALM_ID:您的 Realm 的 ID
  • NCC_GATEWAY_SPOKE_ID:您的 NCC 网关 spoke 的 ID

Symantec Cloud SWG

gcloud

如需创建附件,请执行以下操作:

  1. 运行 gcloud beta network-security secure-access-connect realms describe 命令,确定要将附件连接到的 Symantec 网站:

      gcloud beta network-security secure-access-connect realms describe REALM_ID \
      --project=PROJECT_ID

    替换以下内容:

    • REALM_ID:您的 Realm 的名称
    • PROJECT_ID:您的项目 ID

    输出类似于以下内容:

    name: projects/project-id/locations/global/sacRealms/realm-id
createTime: '...'
updateTime: '...'
securityService: SYMANTEC_CLOUD_SWG
state: PARTNER_ATTACHED
symantecOptions:
  availableSymantecSites:
               SYMANTEC_SITE_1
               SYMANTEC_SITE_2
  secretPath:SECRET_PATH
 symantecConnectionState: SUCCEEDED

    availableSymantecSites 字段包含可供您连接的 Symantec Cloud SWG 站点。

  2. 运行 gcloud beta network-security secure-access-connect attachments create 命令以创建附件:

      gcloud beta network-security secure-access-connect attachments create ATTACHMENT_ID \
      --project=PROJECT_ID \
      --location=REGION \
      --realm=REALM_ID \
      --gateway=NCC_GATEWAY_SPOKE_ID \
      --symantec-site=SYMANTEC_SITE \
      --symantec-location-name=SYMANTEC_LOCATION_NAME
      --country=COUNTRY \
      --timezone=TIMEZONE

    替换以下内容:

    • ATTACHMENT_ID:附件的名称
    • PROJECT_ID:您的项目 ID
    • REALM_ID:您的 Realm 的 ID
    • NCC_GATEWAY_SPOKE_ID:您的 NCC 网关 spoke 的 ID

    • SYMANTEC_SITE:您要将附件连接到的 Symantec 网站

      必须是上一步中的 availableSymantecSites 之一。

    • SYMANTEC_LOCATION_NAME:要为 Symantec 位置指定的名称

      如需详细了解命名要求,请参阅 Symantec Location Management API 文档中的 Location schema

    • COUNTRY:采用 ISO 3166 alpha-2 国家/地区代码格式的可选国家/地区代码

    • TIMEZONE:采用 IANA 时区格式的可选时区

API

如需在指定项目和位置中创建连接,请使用 projects.locations.sacAttachments.create 方法

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/REGION/sacAttachments
{
  "name": "ATTACHMENT_ID",
  "sacRealm": "REALM_ID",
  "nccGateway": "NCC_GATEWAY_SPOKE_ID",
  "country": "COUNTRY",
  "timeZone": "TIMEZONE",
  "symantecOptions": {
    "symantecLocationName": "SYMANTEC_LOCATION_NAME",
    "symantecSite": "SYMANTEC_SITE"
  }
}

替换以下内容:

  • PROJECT_ID:您的项目 ID
  • REGION:连接所在的区域
  • ATTACHMENT_ID:附件的名称
  • REALM_ID:您的 Realm 的 ID
  • NCC_GATEWAY_SPOKE_ID:您的 NCC 网关 spoke 的 ID
  • COUNTRY:采用 ISO 3166 alpha-2 国家/地区代码格式的可选国家/地区代码
  • TIMEZONE:采用 IANA 时区格式的可选时区

  • SYMANTEC_SITE:您要将附件连接到的 Symantec 网站

    必须是上一步中的 availableSymantecSites 之一。

  • SYMANTEC_LOCATION_NAME:要为 Symantec 位置指定的名称

    如需详细了解命名要求,请参阅 Symantec Location Management API 文档中的 Location schema

后续步骤