本文档介绍如何创建 Secure Access Connect 领域。A Secure Access Connect 领域会在 Google Cloud 项目与 SSE 服务之间建立连接。
准备工作
在开始之前,请执行以下操作:
设置以下任一 SSE 合作伙伴服务:
所需的角色
如需获得创建领域所需的权限,请让您的管理员为您授予项目的Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。
创建 Secure Access Connect 领域
按照与您的 SSE 提供商对应的说明创建 Secure Access Connect 领域。
Palo Alto Networks Prisma Access
如需创建领域,请执行以下操作。
控制台
在 Google Cloud 控制台中,前往 Secure Access Connect 页面。
点击创建领域 。
输入要创建的领域的名称。
在安全服务 字段中,选择 Palo Alto Networks Prisma Access 。
点击创建 。
gcloud
运行
gcloud network-security secure-access-connect realms create命令创建领域:gcloud network-security secure-access-connect realms create REALM_ID \ --security-service=prisma-access将
REALM_ID替换为您的领域的名称。运行
gcloud network-security secure-access-connect realms describe命令,找出领域的配对密钥:gcloud network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_ID替换以下内容:
REALM_ID:您的大区的名称PROJECT_ID:您的项目 ID
输出类似于以下内容:
createTime: '...' name: ... pairingKey: expireTime: '...' key: 12345678-0000-4321-1234-abcdefghijkl securityService: PALO_ALTO_PRISMA_ACCESS state: UNATTACHED updateTime: '...'key字段包含配对密钥。使用配对密钥在 Prisma Access 中设置托管式 Cloud WAN。
API
使用 projects.locations.sacRealms.create 方法。
POST https://networksecurity.googleapis.com/v1/project/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "PALO_ALTO_PRISMA_ACCESS"
}
替换以下内容:
PROJECT_ID:您的项目 IDREALM_ID:您的大区的名称
Symantec Cloud SWG
如需创建领域,请执行以下操作。
控制台
在 Google Cloud 控制台中,前往 Secure Access Connect 页面。
点击创建领域 。
输入要创建的领域的名称。
在安全服务 字段中,选择 Symantec Cloud SWG 。
如果您已从 Symantec 获取密钥,请在密钥 字段中输入 Symantec 密钥。如果您没有密钥,可以按照以下步骤获取密钥:
- 点击手动输入 Secret 。
按照以下步骤将 API 密钥存储在 Secret Manager 中:
在要创建领域的同一项目中 创建 Secret。
添加 Secret 版本 ,其中包含密钥。Secret 的内容中不得包含任何额外的空格。请使用以下格式:
projects/<var>PROJECT_NUMBER</var>/secrets/<var>SECRET_NAME</var>。
点击创建 。
gcloud
如果您尚未提供 Symantec API 密钥,请按照以下步骤向 Secure Access Connect 提供该密钥:
在 Symantec Cloud SWG 中, 创建 API 密钥 并将 访问权限 设置为 位置管理。
按照以下步骤将 API 密钥存储在 Secret Manager 中:
在要创建领域的同一项目中 创建 Secret。
添加 Secret 版本 ,其中包含 API 密钥。Secret 的内容中不得包含任何额外的空格。请使用以下格式:
USERNAME:PASSWORD替换以下内容:
USERNAME:API 密钥中的用户名PASSWORD:API 密钥中的密码
运行
gcloud network-security secure-access-connect realms create命令创建领域:gcloud network-security secure-access-connect realms create REALM_ID \ --security-service=symantec-cloud-swg \ --project=PROJECT_ID \ --symantec-secret=SECRET_ID替换以下内容:
REALM_ID:您的大区名称PROJECT_ID:您的项目 IDSECRET_ID:包含 API 密钥的 Secret 的 ID
运行
gcloud secrets add-iam-policy-binding命令,向网络安全服务帐号授予对 API 密钥的访问权限:gcloud secrets add-iam-policy-binding SECRET_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessor替换以下内容:
SECRET_ID:包含 API 密钥的 Secret 的 IDPROJECT_NUMBER:您的项目编号
API
使用 projects.locations.sacRealms.create 方法。
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "SYMANTEC_CLOUD_SWG",
"symantecOptions": {
"secretPath": "SECRET_ID"
}
}
替换以下内容:
PROJECT_ID:您的项目 IDREALM_ID:您的大区名称SECRET_ID:包含 API 密钥的 Secret 的 ID