本文說明如何建立 Secure Access Connect 連結。Secure Access Connect 連結可讓 NCC 閘道透過 SSE 產品處理流量。
事前準備
開始之前,請先執行下列操作:
必要的角色
如要取得建立附件所需的權限,請要求管理員授予您專案的Compute Network 管理員 (roles/compute.networkAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
建立 Secure Access Connect 連結
按照 SSE 供應商對應的操作說明,建立 Secure Access Connect 附件。
Palo Alto Networks Prisma Access
控制台
前往 Google Cloud 控制台的「Secure Access Connect Attachments」(安全存取連線附件) 頁面。
按一下「建立附件」。
輸入要建立的附件名稱。
選擇附件的區域。
選擇附件的領域 ID。您選擇的領域必須附加至 Palo Alto Networks Prisma Access。
如果尚未建立領域,請在「領域」欄位中,按一下「建立領域」。按照操作說明建立領域。
選擇要與連結相連的 NCC 閘道輪輻。
點選「建立」。
gcloud
執行 gcloud network-security secure-access-connect attachments create 指令,建立附件:
gcloud network-security secure-access-connect attachments create ATTACHMENT_ID \
--project=PROJECT_ID \
--location=REGION \
--realm=REALM_ID \
--gateway=NCC_GATEWAY_SPOKE_ID
更改下列內容:
ATTACHMENT_ID:附件名稱PROJECT_ID:專案 IDREGION:連結的區域REALM_ID:領域的 IDNCC_GATEWAY_SPOKE_ID:NCC 閘道輪輻的 ID
API
如要在特定專案和位置建立附件,請使用 projects.locations.sacAttachments.create 方法。
POST https://networksecurity.googleapis.com/v1/{parent=project/PROJECT_ID/locations/REGION}/sacAttachments
{
"sacRealm": "REALM_ID",
"nccGateway": "NCC_GATEWAY_SPOKE_ID"
}
更改下列內容:
PROJECT_ID:專案 IDREGION:連結的區域REALM_ID:領域的 IDNCC_GATEWAY_SPOKE_ID:NCC 閘道輪輻的 ID
Symantec Cloud SWG
如要建立附件,請按照下列步驟操作。
控制台
前往 Google Cloud 控制台的「Secure Access Connect Attachments」(安全存取連線附件) 頁面。
按一下「建立附件」。
輸入要建立的附件名稱。
選擇附件的區域。
選擇附件的領域 ID。所選領域必須附加至 Symantec Cloud SWG。
如果尚未建立領域,請在「領域」欄位中,按一下「建立領域」。按照操作說明建立領域。
選擇要與連結相連的 NCC 閘道輪輻。
(選用) 為附件選擇本地化國家/地區。
(選用) 為本地化選擇適當的時區。
點選「建立」。
gcloud
執行
gcloud network-security secure-access-connect realms describe指令,找出要連結附件的 Symantec 網站:gcloud network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_ID更改下列內容:
REALM_ID:領域名稱PROJECT_ID:專案 ID
輸出結果會與下列內容相似:
name: projects/project-id/locations/global/sacRealms/realm-id createTime: '...' updateTime: '...' securityService: SYMANTEC_CLOUD_SWG state: PARTNER_ATTACHED symantecOptions: availableSymantecSites: SYMANTEC_SITE_1 SYMANTEC_SITE_2 secretPath:SECRET_PATH symantecConnectionState: SUCCEEDEDavailableSymantecSites欄位包含可供您連線的 Symantec Cloud SWG 網站。執行
gcloud network-security secure-access-connect attachments create指令,建立附件:gcloud network-security secure-access-connect attachments create ATTACHMENT_ID \ --project=PROJECT_ID \ --location=REGION \ --realm=REALM_ID \ --gateway=NCC_GATEWAY_SPOKE_ID \ --symantec-site=SYMANTEC_SITE \ --symantec-location-name=SYMANTEC_LOCATION_NAME --country=COUNTRY \ --timezone=TIMEZONE更改下列內容:
ATTACHMENT_ID:附件名稱PROJECT_ID:專案 IDREALM_ID:領域的 IDNCC_GATEWAY_SPOKE_ID:NCC 閘道輪輻的 IDSYMANTEC_SITE:要將附件連結至的 Symantec 網站必須是上一個步驟的
availableSymantecSites之一。SYMANTEC_LOCATION_NAME:要提供給 Symantec 位置的名稱如要進一步瞭解命名規定,請參閱 Symantec Location Management API 說明文件中的
Location schema。COUNTRY:選填的國家/地區代碼,格式為 ISO 3166 alpha-2 國家/地區代碼TIMEZONE:選用時區,格式為 IANA 時區
API
如要在特定專案和位置建立附件,請使用 projects.locations.sacAttachments.create 方法。
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/sacAttachments
{
"name": "ATTACHMENT_ID",
"sacRealm": "REALM_ID",
"nccGateway": "NCC_GATEWAY_SPOKE_ID",
"country": "COUNTRY",
"timeZone": "TIMEZONE",
"symantecOptions": {
"symantecLocationName": "SYMANTEC_LOCATION_NAME",
"symantecSite": "SYMANTEC_SITE"
}
}
更改下列內容:
PROJECT_ID:專案 IDREGION:連結的區域ATTACHMENT_ID:附件名稱REALM_ID:領域的 IDNCC_GATEWAY_SPOKE_ID:NCC 閘道輪輻的 IDCOUNTRY:選填的國家/地區代碼,格式為 ISO 3166 alpha-2 國家/地區代碼TIMEZONE:選用時區,格式為 IANA 時區SYMANTEC_SITE:要將附件連結至的 Symantec 網站必須是上一個步驟的
availableSymantecSites之一。SYMANTEC_LOCATION_NAME:要提供給 Symantec 位置的名稱如要進一步瞭解命名規定,請參閱 Symantec Location Management API 說明文件中的
Location schema。