创建大区

本文档介绍如何创建 Secure Access Connect 领域。A Secure Access Connect 领域会在 Google Cloud 项目与 SSE 服务之间建立连接。

准备工作

在开始之前,请执行以下操作:

所需的角色

如需获得创建领域所需的权限,请让您的管理员为您授予项目的Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。

创建 Secure Access Connect 领域

按照与您的 SSE 提供商对应的说明创建 Secure Access Connect 领域。

Palo Alto Networks Prisma Access

如需创建领域,请执行以下操作。

控制台

  1. 在 Google Cloud 控制台中,前往 Secure Access Connect 页面。

    前往 Secure Access Connect 领域

  2. 点击创建领域

  3. 输入要创建的领域的名称。

  4. 安全服务 字段中,选择 Palo Alto Networks Prisma Access

  5. 点击创建

gcloud

  1. 运行 gcloud network-security secure-access-connect realms create 命令创建领域:

      gcloud network-security secure-access-connect realms create REALM_ID \
          --security-service=prisma-access
    

    REALM_ID 替换为您的领域的名称。

  2. 运行 gcloud network-security secure-access-connect realms describe 命令,找出领域的配对密钥:

      gcloud network-security secure-access-connect realms describe REALM_ID \
          --project=PROJECT_ID
    

    替换以下内容:

    • REALM_ID:您的大区的名称
    • PROJECT_ID:您的项目 ID

    输出类似于以下内容:

    createTime: '...'
    name: ...
    pairingKey:
      expireTime: '...'
      key: 12345678-0000-4321-1234-abcdefghijkl
    securityService: PALO_ALTO_PRISMA_ACCESS
    state: UNATTACHED
    updateTime: '...'
    

    key 字段包含配对密钥。

  3. 使用配对密钥在 Prisma Access 中设置托管式 Cloud WAN。

API

使用 projects.locations.sacRealms.create 方法

  POST https://networksecurity.googleapis.com/v1/project/PROJECT_ID/locations/global/sacRealms
  {
    "name": "REALM_ID",
    "securityService": "PALO_ALTO_PRISMA_ACCESS"
  }

替换以下内容:

  • PROJECT_ID:您的项目 ID
  • REALM_ID:您的大区的名称

Symantec Cloud SWG

如需创建领域,请执行以下操作。

控制台

  1. 在 Google Cloud 控制台中,前往 Secure Access Connect 页面。

    前往 Secure Access Connect 领域

  2. 点击创建领域

  3. 输入要创建的领域的名称。

  4. 安全服务 字段中,选择 Symantec Cloud SWG

  5. 如果您已从 Symantec 获取密钥,请在密钥 字段中输入 Symantec 密钥。如果您没有密钥,可以按照以下步骤获取密钥:

  6. 点击创建

gcloud

  1. 如果您尚未提供 Symantec API 密钥,请按照以下步骤向 Secure Access Connect 提供该密钥:

    1. 在 Symantec Cloud SWG 中, 创建 API 密钥 并将 访问权限 设置为 位置管理

    2. 按照以下步骤将 API 密钥存储在 Secret Manager 中:

      1. 在要创建领域的同一项目中 创建 Secret。

      2. 添加 Secret 版本 ,其中包含 API 密钥。Secret 的内容中不得包含任何额外的空格。请使用以下格式:

        USERNAME:PASSWORD
        

        替换以下内容:

        • USERNAME:API 密钥中的用户名
        • PASSWORD:API 密钥中的密码
  2. 运行 gcloud network-security secure-access-connect realms create 命令创建领域:

      gcloud network-security secure-access-connect realms create REALM_ID \
          --security-service=symantec-cloud-swg \
          --project=PROJECT_ID \
          --symantec-secret=SECRET_ID
    

    替换以下内容:

    • REALM_ID:您的大区名称
    • PROJECT_ID您的项目 ID
    • SECRET_ID:包含 API 密钥的 Secret 的 ID
  3. 运行 gcloud secrets add-iam-policy-binding命令,向网络安全服务帐号授予对 API 密钥的访问权限:

      gcloud secrets add-iam-policy-binding SECRET_ID \
          --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com  \
          --role roles/secretmanager.secretAccessor
    

    替换以下内容:

API

使用 projects.locations.sacRealms.create 方法

POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/sacRealms
{
  "name": "REALM_ID",
  "securityService": "SYMANTEC_CLOUD_SWG",
  "symantecOptions": {
    "secretPath": "SECRET_ID"
  }
}

替换以下内容:

  • PROJECT_ID您的项目 ID
  • REALM_ID:您的大区名称
  • SECRET_ID:包含 API 密钥的 Secret 的 ID

后续步骤