Ansichten:

Richten Sie Ihre VPC-Netzwerke ein, um die Verkehrsspiegelung zu Ihrem Datenport des virtuellen Netzwerksensors zu ermöglichen.

Hinweis
Hinweis
Die in diesen Anweisungen enthaltenen Schritte sind ab Juli 2024 gültig.
Sie können Ihre bevorzugte Methode verwenden, um Traffic-Mirroring in Ihrer Google Cloud-Umgebung einzurichten, oder den Schritten in der Google Cloud-Dokumentation für Packet Mirroring folgen.
Wenn Sie sich nicht sicher sind, welche Einstellungen Sie verwenden sollen, folgen Sie den Schritten in diesem Leitfaden, um das Traffic-Mirroring einzurichten. Diese Methode wurde von Trend Micro für die Bereitstellung des Virtual Network Sensors getestet.
Bevor Sie mit den ersten Schritten beginnen, stellen Sie sicher, dass Sie entschieden haben, welche virtuelle Maschine (VM) Sie als Spiegelquelle verwenden möchten. Die Spiegelquelle-VM ist die Datenquelle für die Paketspiegelung zum Datenport des Virtual Network Sensors.

Prozedur

  1. Richten Sie Netzwerk-Peering ein.
    Trend Micro empfiehlt, den Datenport des Virtual Network Sensors in einem separaten VPC-Netzwerk als die Mirror-Quell-VM zu platzieren. Wenn Sie den Datenport demselben Netzwerk wie die Mirror-Quell-VM zugewiesen haben, fahren Sie mit dem nächsten Schritt fort.
    Wichtig
    Wichtig
    Wenn Sie mehrere VPC-Netzwerke verwenden, müssen Sie das Netzwerk-Peering auf beiden VPC-Netzwerken einrichten, um die Paketspiegelung zu ermöglichen.
    1. Gehen Sie in Ihrer Google Cloud-Umgebung zu VPC networkVPC networks.
    2. Suchen Sie das VPC-Netzwerk mit der Spiegelquelle-VM und klicken Sie darauf.
      Das Fenster VPC network details wird angezeigt.
    3. Navigieren Sie zu VPC Network Peering.
    4. Klicken Sie auf Add Peering.
      Das Fenster Create peering connection wird angezeigt.
    5. Geben Sie einen eindeutigen name für die Peering-Verbindung an.
    6. Unter Peered VPC netwok wählen Sie den VPC-Netzwerknamen aus, dem der Datenport des Virtual Network Sensors zugewiesen ist.
    7. Klicken Sie auf Erstellen.
    8. Gehen Sie zurück zum Fenster VPC Networks.
    9. Suchen und klicken Sie auf das VPC-Netzwerk mit dem Datenport des Virtual Network Sensors.
      Das Fenster VPC network details wird angezeigt.
    10. Navigieren Sie zu VPC Network Peering.
    11. Klicken Sie auf Add Peering.
      Das Fenster Create peering connection wird angezeigt.
    12. Geben Sie einen eindeutigen name für die Peering-Verbindung an.
    13. Unter Peered VPC netwok wählen Sie den VPC-Netzwerknamen aus, in dem sich die Spiegelquelle-VM befindet.
    14. Klicken Sie auf Erstellen.
  2. Erstellen Sie eine nicht verwaltete Instanzgruppe.
    1. Navigieren Sie zu Compute EngineInstance groups.
    2. Klicken Sie auf Create Instance Group.
      Das Fenster Create Instance Group wird angezeigt.
    3. Klicken Sie auf New unmanaged instance group.
    4. Geben Sie einen eindeutigen name für die Instanzgruppe an.
    5. Wählen Sie das Standort aus, wo der Virtual Network Sensor bereitgestellt ist.
    6. Wählen Sie das Netzwerk aus, wo sich der Sensor Management-Port des virtuellen Netzwerks befindet.
    7. Wählen Sie das Subnetwork aus, wo sich der Sensor Management-Port des virtuellen Netzwerks befindet.
    8. Für VM instances wählen Sie die Virtual Network Sensor-Instanz aus.
    9. Klicken Sie auf Erstellen.
  3. Erstellen Sie einen Gesundheitscheck.
    1. Navigieren Sie zu Compute EngineHealth checks.
    2. Klicken Sie auf Create Health Check.
      Das Fenster Create a health check wird angezeigt.
    3. Geben Sie einen eindeutigen name für die Gesundheitsprüfung an.
    4. Für Protokoll wählen Sie TCP.
    5. Für Port geben Sie 14789 ein.
    6. Klicken Sie auf Erstellen.
  4. Erstellen Sie einen Lastenausgleich.
    1. Navigieren Sie zu Network servicesLoad balancing.
    2. Klicken Sie auf Create Load Balancer.
      Das Fenster Create a load balancer wird angezeigt.
    3. Für Type of load balancer wählen Sie Network Load Balancer (TCP/UDP/SSL) und klicken Sie auf Weiter.
    4. Für Proxy or passthrough wählen Sie Passthrough load balancer und klicken Sie auf Weiter.
    5. Für Public facing or internal wählen Sie !!Internal!! und klicken Sie auf Weiter.
    6. Klicken Sie auf Konfigurieren.
      Das Fenster Create internal passthrough Network Load Balancer wird angezeigt.
    7. Geben Sie einen eindeutigen name für den Load Balancer an.
    8. Wählen Sie dasselbe Region aus, in dem der Virtual Network Sensor bereitgestellt ist.
    9. Wählen Sie denselben Netzwerk aus, an dem sich der Datenport des virtuellen Netzwerksensors befindet.
    10. Wenn die Backend configuration nicht automatisch angezeigt wird, klicken Sie auf Backend configuration.
    11. Für Backend type wählen Sie Instance group.
    12. Für Protokoll wählen Sie TCP.
    13. Wählen Sie unter New backend die Option IPV4 (single-stack) für die IP stack type.
    14. Wählen Sie die Instance grouperstellte Option mit dem Virtual Network Sensor Management Port aus.
    15. Wählen Sie das Health check, das Sie erstellt haben.
    16. Für Session affinity wählen Sie Keine.
    17. Klicken Sie auf Fertig.
    18. Klicken Sie auf Frontend configuration.
    19. Wählen Sie das Subnetwork aus, an dem sich der Datenport des virtuellen Netzwerksensors befindet.
    20. Für Ports wählen Sie !!All!!.
    21. Erweitern Sie Advanced Configurations.
    22. Wählen Sie Enable this load balancer for Packet Mirroring.
    23. Klicken Sie auf Fertig.
    24. Klicken Sie auf Erstellen.
  5. Erstellen Sie eine Paketspiegelungsrichtlinie.
    1. Navigieren Sie zu VPC networkPacket mirroring.
    2. Klicken Sie auf Richtlinie erstellen.
      Das Fenster Create policy wird angezeigt.
    3. Geben Sie einen eindeutigen Richtlinienname ein.
    4. Wählen Sie dasselbe Region aus, in dem der Virtual Network Sensor bereitgestellt ist.
    5. Klicken Sie auf Weiter.
    6. Wählen Sie die VPC-Netzwerke aus.
      • Wenn Sie den Datenport des Virtual Network Sensors demselben Netzwerk wie die Spiegelquelle-VM zugewiesen haben, wählen Sie Mirrored source and collector destination are in the same VPC network und dann das VPC-Netzwerk aus, auf dem sie sich befinden.
      • Wenn Sie den Datenport des Virtual Network Sensors einem anderen Netzwerk als der Spiegelquellen-VM zugewiesen haben, wählen Sie Mirrored source and collector destination are in separate, peered VPC networks und dann Folgendes aus:.
        • Mirrored source VPC network: Wählen Sie das Netzwerk der Spiegelquellen-VM aus
        • Collector destination VPC network: Wählen Sie das Netzwerk des Datenanschlusses des virtuellen Netzwerksensors aus
    7. Klicken Sie auf Weiter.
    8. Für Mirrored source wählen Sie Select individual instances und klicken Sie auf Auswählen.
    9. Im angezeigten Bildschirm wählen Sie die Spiegelquelle-VM aus und klicken Sie auf Auswählen.
    10. Klicken Sie auf Weiter.
    11. Wählen Sie den Load Balancer, den Sie erstellt haben, als Collector destination aus.
      Der Load Balancer könnte im Format NAME-forwarding-rule (NAME) erscheinen.
    12. Klicken Sie auf Weiter.
    13. Wählen Sie Mirror all IPv4 traffic (default).
    14. Klicken Sie auf Absenden.
  6. Konfigurieren Sie Firewall-Regeln für den Datenport des virtuellen Netzwerksensors.
    Trend Micro empfiehlt, die Firewall-Regeln für den Datenport des Virtual Network Sensors so einzustellen, dass der gesamte Datenverkehr in den Port zugelassen wird, um maximale Sichtbarkeit des Netzwerkverkehrs zu ermöglichen.
    1. Navigieren Sie zu VPC networkVPC networks.
    2. Suchen Sie das VPC-Netzwerk, in dem sich der Datenport des Virtual Network Sensors befindet, und klicken Sie auf den Namen.
      Das Fenster VPC network details wird angezeigt.
    3. Navigieren Sie zu Firewalls.
    4. Klicken Sie auf Add Firewall Rule.
      Das Fenster Create a firewall rule wird angezeigt.
    5. Geben Sie einen eindeutigen name für die Firewall-Regel an.
    6. Für Direction of traffic wählen Sie Ingress.
    7. Für Action on match wählen Sie Zulassen.
    8. Für Ziele wählen Sie den Virtual Network Sensor aus.
      Wenn Sie den Datenport des Virtual Network Sensors eigenständig in einem neuen VPC-Netzwerk bereitgestellt haben, können Sie All instances in the network auswählen.
    9. Für Source IPv4 ranges geben Sie 0.0.0.0/0 ein, um alle Quellen zuzulassen.
    10. Für Protocols and ports wählen Sie Alle zulassen.
    11. Klicken Sie auf Erstellen.
    Der gespiegelte Datenverkehr beginnt zum Virtual Network Sensor zu fließen, sobald alle Schritte erfolgreich abgeschlossen sind. Wenn der Datenverkehr den Virtual Network Sensor nicht erreicht, überprüfen Sie Ihre Konfiguration.