创建大区

本文档介绍如何创建 Secure Access Connect 领域。一个 Secure Access Connect 领域会在您的 Google Cloud 项目与 SSE 服务之间建立连接。

准备工作

在开始之前,请执行以下操作:

所需的角色

如需获得创建大区所需的权限,请让您的管理员为您授予项目的Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。

创建 Secure Access Connect 领域

按照与您的 SSE 提供商对应的说明创建 Secure Access Connect 领域。

Palo Alto Networks Prisma Access

按照以下步骤创建领域。

gcloud

  1. 运行 gcloud beta network-security secure-access-connect realms create 命令来创建领域

      gcloud beta network-security secure-access-connect realms create REALM_ID \
      --security-service=prisma-access

    REALM_ID 替换为您的领域的名称。

  2. 运行 gcloud beta network-security secure-access-connect realms describe 命令来确定领域的配对密钥:

      gcloud beta network-security secure-access-connect realms describe REALM_ID \
      --project=PROJECT_ID

    替换以下内容:

    • REALM_ID:您的大区的名称
    • PROJECT_ID:您的项目 ID

    输出类似于以下内容:

    createTime: '...'
name: ...
pairingKey:
  expireTime: '...'
  key: 12345678-0000-4321-1234-abcdefghijkl
securityService: PALO_ALTO_PRISMA_ACCESS
state: UNATTACHED
updateTime: '...'

    key 字段包含配对密钥。

  3. 使用配对密钥在 Prisma Access 中设置 Managed Cloud WAN。

API

使用 projects.locations.sacRealms.create 方法

  POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
  {
    "name": "REALM_ID",
    "securityService": "PALO_ALTO_PRISMA_ACCESS"
  }

替换以下内容:

  • PROJECT_ID:您的项目 ID
  • REALM_ID:您的大区的名称

Symantec Cloud SWG

按照以下步骤创建领域。

gcloud

  1. 如果您尚未执行此操作,请按照以下步骤向 Secure Access Connect 提供 Symantec API 密钥:

    1. 在 Symantec Cloud SWG 中, 创建 API 密钥 并将 访问权限 设置为 位置管理

    2. 按照以下步骤将 API 密钥存储在 Secret Manager 中:

      1. 在您要创建领域的同一项目中 创建一个密文。

      2. 添加密文版本 ,其中包含 API 密钥。密文内容中不得有任何额外的空格。请使用以下格式:

        USERNAME:PASSWORD

        替换以下内容:

        • USERNAME:API 密钥中的用户名
        • PASSWORD:API 密钥中的密码

  2. 运行 gcloud beta network-security secure-access-connect realms create 命令来创建领域:

      gcloud beta network-security secure-access-connect realms create REALM_ID \
      --security-service=symantec-cloud-swg \
      --project=PROJECT_ID \
      --symantec-secret=SECRET_ID

    替换以下内容:

    • REALM_ID:您的大区名称
    • PROJECT_ID您的项目 ID
    • SECRET_ID:包含 API 密钥的密文的 ID

  3. 运行 gcloud secrets add-iam-policy-binding命令,向网络安全服务帐号授予对 API 密钥的访问权限:

      gcloud secrets add-iam-policy-binding SECRET_ID \
      --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com  \
      --role roles/secretmanager.secretAccessor

    替换以下内容:

API

使用 projects.locations.sacRealms.create 方法

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
  "name": "REALM_ID",
  "securityService": "SYMANTEC_CLOUD_SWG",
  "symantecOptions": {
    "secretPath": "SECRET_ID"
  }
}

替换以下内容:

  • PROJECT_ID您的项目 ID
  • REALM_ID:您的大区名称
  • SECRET_ID:包含 API 密钥的密文的 ID

后续步骤