將您的 Google 雲端平台 (GCP) 應用程式與 Zero Trust Secure Access 私人存取連接,防止未經授權的入侵。
Private Access 連接器將您的內部應用程式與 Zero Trust Secure Access Private Access 連接,讓您能夠控制對敏感企業資源的存取。為了確保高可用性
(HA) 並促進高流量應用程式的負載平衡,請在每個環境中安裝並組合至少 2 個連接器。在嘗試部署 Private Access 連接器之前,請確保您的環境符合最低
系統需求。
步驟
- 在 TrendAI Vision One™ 主控台中,前往 。
- 對於需要建立新連接器群組的客戶,請點選Add Private Access Connector Group。
- 為群組提供唯一的名稱和描述。
- 點選儲存。
- 在清單中找到您的Connector group名稱,然後點選New connector (
) 圖示。Private Access Connector Virtual Appliance 面板出現。 - 從Platform列表中選擇Google Cloud Platform。
- 點選Download Disk Image以下載OVA檔案。請確認檔案名稱和副檔名為:
TrendMicroVisionOne-PrivateAccessConnector.ova - 複製Registration token以供日後使用。
重要
Registration token 只有效 7 天。如果令牌過期,您必須重新開始。 - 安裝並設定 Google 雲端 SDK。如果您已經設定雲端 SDK,請跳過此步驟。
重要
截至2022年7月,這些指示中的步驟是有效的。 - 以超級管理員的身份登入 Google 雲端平台。
- 在 GCP 畫面的頂部,從專案下拉選單中選擇要部署 Private Access Connector 虛擬裝置的專案。
- 在專案下,建立一個儲存桶以上傳下載的 OVA 檔案。
注意
如果您在專案下有符合以下要求的儲存桶,請跳過此步驟。-
儲存桶的區域與用於部署私有存取連接器的區域相同。
-
桶的可用空間大於要上傳的OVA檔案大小。
- 在搜尋框中搜尋雲端儲存,然後點選雲端儲存。桶管理畫面顯示。
- 點選CREATE BUCKET。
- 在出現的Create a bucket畫面上,指定一個唯一可識別的名稱給儲存桶,然後點選繼續。
- 配置儲存桶的設定,然後點選Create。
注意
確保儲存桶的區域與用於部署私有存取連接器的區域相同。新的儲存桶會顯示在儲存桶管理畫面上。
-
- 將 OVA 檔案上傳到儲存區。
- 在儲存桶管理畫面上的儲存桶清單中,點選在步驟4中建立或選取的儲存桶。Bucket details畫面出現。
- 在 Objects 標籤上,點選 UPLOAD FILES,在出現的對話框中選擇 OVA 檔案,然後點選 Open。上傳的 OVA 檔案顯示在儲存區檔案清單中。
- 在儲存桶管理畫面上的儲存桶清單中,點選在步驟4中建立或選取的儲存桶。
- 從 GCP 雲端儲存匯入 OVA 檔案到雲端運算。
- 在本機上打開 gcloud CLI 並以超級管理員身份登入。
- 執行以下命令以確認目前的專案和區域是儲存桶所在的位置。
gcloud config list(可選)如有需要,請執行以下命令以更改專案和區域。-
gcloud config set project <project_of_the_bucket> -
gcloud config set compute/region <region_of_the_bucket>
-
- 執行以下命令,將OVA檔案從雲端儲存匯入到雲端運算:
gcloud compute images import <imageName> --source-file "gs://<bucketName>/<ovaFileName>" --network <networkName>-
<imageName>: OVA 檔案匯入後在雲端運算中的映像名稱
-
<bucketName>:存儲 OVA 文件的存儲桶名稱
-
<ovaFileName>:要匯入的 OVA 檔案名稱
-
<networkName>:當前專案中用於圖像匯入的網路名稱
注意
如果當前專案下沒有可用的網路,您需要建立一個。詳細資訊請參閱 Google 虛擬私有雲 (VPC) 文件。
-
- 等待程序完成。
注意
匯入可能需要大約兩個小時。在匯入過程中請勿關閉 gcloud CLI。當匯入完成時,會出現「完成製作可啟動磁碟」訊息。您也可以在 GCP 上搜尋Images,並在映像清單中找到該映像。
- 在 gcloud CLI 上,運行以下命令以從導入的映像創建一個私有訪問連接器 VM。
gcloud compute instances create <instanceName> --image-project <projectName> --image <imageName> --network <networkName>-
<instanceName>:要建立的虛擬機名稱
-
<projectName>:要在其下建立虛擬機的專案名稱
-
<imageName>:用於建立虛擬機的映像名稱
-
<networkName>:VM 建立後運行的網路名稱
-
- 等待程序完成。創建大約需要一分鐘。VM 創建完成後,您可以在 GCP 上搜索VM instances並找到新的 VM。
- 將私有訪問連接器虛擬裝置註冊到TrendAI Vision One™。
- Open the gcloud CLI, and run the following
sshcommand to log on to the Private Access Connector virtual appliance with the default credentials.gcloud compute ssh admin@<instance_name_of_the_Connector_VM>此命令會自動建立一對金鑰,將公鑰檔案上傳到 VM,將私鑰檔案儲存到您的本機,並使用私鑰檔案進行驗證。您不需要在命令中指定私鑰檔案。 - Run the following command and then press the Enter key to set your password for the
enablecommand:passwdadmin 使用者和特權模式共用相同的密碼。 - 輸入 enable,然後按 進入 鍵以進入特權模式。當被要求時,提供更新的密碼。命令提示符從>變更為#。
- (可選)執行以下命令以更改私有訪問連接器的時區:
configure timezone <timezone>預設時區是America/Los_Angeles。 - 檢查私人存取連接器是否能連接到 NTP 伺服器 0.pool.ntp.org。Private Access Connector 需要連接到 NTP 伺服器以同步其時鐘。預設情況下,TrendAI Vision One™ 使用公共 NTP 伺服器 0.pool.ntp.org。您也可以配置 Private Access Connector 連接到其他公共 NTP 伺服器或您組織內的本地 NTP 伺服器。Run the following command to configure the NTP server:
configure ntp server <address>注意
要使用公共 NTP 伺服器,請確保您的防火牆組態允許在 123 埠上輸出 UDP 流量。 - 執行以下命令將私有存取連接器虛擬裝置註冊到TrendAI Vision One™:
register <registration_token>您可以從下載虛擬裝置的同一個畫面上獲取令牌 TrendAI Vision One™。
- Open the gcloud CLI, and run the following
- 如果需要,請使用 CLI 來配置其他設定。如需有關可用命令的詳細資訊,請參閱 Private Access Connector CLI 指令。成功部署後,私有訪問連接器虛擬裝置將顯示在 Private Access Connectors 標籤的相應連接器組下。