创建大区

本文档介绍了如何创建 Secure Access Connect 大区。Secure Access Connect 领域会在Google Cloud 项目与 SSE 服务之间建立连接。

准备工作

在开始之前,请执行以下操作:

所需的角色

如需获得创建大区所需的权限,请让您的管理员为您授予项目的 Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

创建 Secure Access Connect 大区

按照与您的 SSE 提供商对应的说明创建 Secure Access Connect 领域。

Palo Alto Networks Prisma Access

通过执行以下操作来创建 realm。

gcloud

  1. 运行 gcloud beta network-security secure-access-connect realms create 命令以创建 realm:

      gcloud beta network-security secure-access-connect realms create REALM_ID \
      --security-service=prisma-access

    REALM_ID 替换为您的 realm 的名称。

  2. 运行 gcloud beta network-security secure-access-connect realms describe 命令,找出相应领域的配对密钥:

      gcloud beta network-security secure-access-connect realms describe REALM_ID \
      --project=PROJECT_ID

    替换以下内容:

    • REALM_ID:您的大区的名称
    • PROJECT_ID:您的项目 ID

    输出类似于以下内容:

    createTime: '...'
name: ...
pairingKey:
  expireTime: '...'
  key: 12345678-0000-4321-1234-abcdefghijkl
securityService: PALO_ALTO_PRISMA_ACCESS
state: UNATTACHED
updateTime: '...'

    key 字段包含配对密钥。

  3. 使用配对密钥在 Prisma Access 中设置受管理的 Cloud WAN。

API

使用 projects.locations.sacRealms.create 方法

  POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
  {
    "name": "REALM_ID",
    "securityService": "PALO_ALTO_PRISMA_ACCESS"
  }

替换以下内容:

  • PROJECT_ID:您的项目 ID
  • REALM_ID:您的大区的名称

Symantec Cloud SWG

通过执行以下操作来创建 realm。

gcloud

  1. 如果您尚未向 Secure Access Connect 提供 Symantec API 密钥,请执行以下操作:

    1. 在 Symantec Cloud SWG 中,创建 API 密钥并将访问权限设置为位置管理

    2. 通过执行以下操作,将 API 密钥存储在 Secret Manager 中:

      1. 在要创建 Realm 的同一项目中创建 Secret

      2. 添加包含 API 密钥的密文版本。密钥的内容中不得包含任何额外的空白字符。请使用以下格式:

        USERNAME:PASSWORD

        替换以下内容:

        • USERNAME:API 密钥中的用户名
        • PASSWORD:API 密钥中的密码

  2. 运行 gcloud beta network-security secure-access-connect realms create 命令以创建 realm:

      gcloud beta network-security secure-access-connect realms create REALM_ID \
      --security-service=symantec-cloud-swg \
      --project=PROJECT_ID \
      --symantec-secret=SECRET_ID

    替换以下内容:

    • REALM_ID:您的 Realm 的名称
    • PROJECT_ID您的项目 ID
    • SECRET_ID:包含 API 密钥的 Secret 的 ID

  3. 运行 gcloud secrets add-iam-policy-binding 命令,向网络安全服务账号授予 API 密钥访问权限:

      gcloud secrets add-iam-policy-binding SECRET_ID \
      --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com  \
      --role roles/secretmanager.secretAccessor

    替换以下内容:

API

使用 projects.locations.sacRealms.create 方法

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
  "name": "REALM_ID",
  "securityService": "SYMANTEC_CLOUD_SWG",
  "symantecOptions": {
    "secretPath": "SECRET_ID"
  }
}

替换以下内容:

  • PROJECT_ID您的项目 ID
  • REALM_ID:您的 Realm 的名称
  • SECRET_ID:包含 API 密钥的 Secret 的 ID

后续步骤