將您的 Google 雲端平台 (GCP) 應用程式與 Zero Trust Secure Access 私人存取連接,防止未經授權的入侵。
Private Access 連接器將您的內部應用程式與 Zero Trust Secure Access Private Access 連接,讓您能夠控制對敏感企業資源的存取。為了確保高可用性
(HA) 並促進高流量應用程式的負載平衡,請在每個環境中安裝並組合至少 2 個連接器。在嘗試部署 Private Access 連接器之前,請確保您的環境符合最低
系統需求。
步驟
- 在 Trend Vision One 主控台中,前往 。
- 對於需要建立新連接器群組的客戶,請點選Add Private Access Connector Group。
- 為群組提供唯一的名稱和描述。
- 點選儲存。
- 在清單中找到您的Connector group名稱,然後點選New connector (
) 圖示。Private Access Connector Virtual Appliance 面板出現。 - 從Platform列表中選擇Google Cloud Platform。
- 點選Download Disk Image以下載OVA檔案。請確認檔案名稱和副檔名為:
TrendMicroVisionOne-PrivateAccessConnector.ova - 複製Registration token以供日後使用。
重要
Registration token 只有效 7 天。如果令牌過期,您必須重新開始。 - 安裝並設定 Google 雲端 SDK。如果您已經設定雲端 SDK,請跳過此步驟。
重要
這些指示中的步驟截至2022年七月有效。 - 以超級管理員的身份登入 Google 雲端平台。
- 在 GCP 畫面的頂部,從專案下拉選單中選擇要部署 Private Access Connector 虛擬裝置的專案。
- 在專案下,建立一個儲存桶以上傳下載的 OVA 檔案。
注意
如果您在專案下有符合以下要求的儲存桶,請跳過此步驟。-
儲存桶的區域與用於部署私有存取連接器的區域相同。
-
桶的可用空間大於要上傳的OVA檔案大小。
- 在搜尋框中搜尋雲端儲存,然後點選雲端儲存。桶管理畫面顯示。
- 點選CREATE BUCKET。
- 在出現的Create a bucket畫面上,指定一個唯一可識別的名稱給儲存桶,然後點選繼續。
- 配置儲存桶的設定,然後點選Create。
注意
確保儲存桶的區域與用於部署私有存取連接器的區域相同。新的儲存桶會顯示在儲存桶管理畫面上。
-
- 將 OVA 檔案上傳到儲存區。
- 在儲存桶管理畫面上的儲存桶清單中,點選在步驟4中建立或選取的儲存桶。Bucket details畫面出現。
- 在 Objects 標籤上,點選 UPLOAD FILES,在出現的對話框中選擇 OVA 檔案,然後點選 Open。上傳的 OVA 檔案顯示在儲存區檔案清單中。
- 在儲存桶管理畫面上的儲存桶清單中,點選在步驟4中建立或選取的儲存桶。
- 從 GCP 雲端儲存匯入 OVA 檔案到雲端運算。
- 在本機上打開 gcloud CLI 並以超級管理員身份登入。
- 執行以下命令以確認目前的專案和區域是儲存桶所在的位置。
gcloud config list(可選)如有需要,請執行以下命令以更改專案和區域。-
gcloud config set project <project_of_the_bucket> -
gcloud config set compute/region <region_of_the_bucket>
-
- 執行以下命令,將OVA檔案從雲端儲存匯入到雲端運算:
gcloud compute images import <imageName> --source-file "gs://<bucketName>/<ovaFileName>" --network <networkName>-
<imageName>: OVA 檔案匯入後在雲端運算中的映像名稱
-
<bucketName>:存儲 OVA 文件的存儲桶名稱
-
<ovaFileName>:要匯入的 OVA 檔案名稱
-
<networkName>:當前專案中用於圖像匯入的網路名稱
注意
如果當前專案下沒有可用的網路,您需要建立一個。詳細資訊請參閱 Google 虛擬私有雲 (VPC) 文件。
-
- 等待程序完成。
注意
匯入可能需要大約兩個小時。在匯入過程中請勿關閉 gcloud CLI。當匯入完成時,會出現「完成製作可啟動磁碟」訊息。您也可以在 GCP 上搜尋Images,並在映像清單中找到該映像。
- 在 gcloud CLI 上,運行以下命令以從導入的映像創建一個私有訪問連接器 VM。
gcloud compute instances create <instanceName> --image-project <projectName> --image <imageName> --network <networkName>-
<instanceName>:要建立的虛擬機名稱
-
<projectName>:要在其下建立虛擬機的專案名稱
-
<imageName>:用於建立虛擬機的映像名稱
-
<networkName>:VM 建立後運行的網路名稱
-
- 等待程序完成。創建大約需要一分鐘。VM 創建完成後,您可以在 GCP 上搜索VM instances並找到新的 VM。
- 將私有訪問連接器虛擬裝置註冊到Trend Vision One。
- Open the gcloud CLI, and run the following
sshcommand to log on to the Private Access Connector virtual appliance with the default credentials.gcloud compute ssh admin@<instance_name_of_the_Connector_VM>此命令會自動建立一對金鑰,將公鑰檔案上傳到 VM,將私鑰檔案儲存到您的本機,並使用私鑰檔案進行驗證。您不需要在命令中指定私鑰檔案。 - Run the following command and then press the Enter key to set your password for the
enablecommand:passwdadmin 使用者和特權模式共用相同的密碼。 - 輸入 enable,然後按 進入 鍵以進入特權模式。當被要求時,提供更新的密碼。命令提示符從>變更為#。
- (可選)執行以下命令以更改私有訪問連接器的時區:
configure timezone <timezone>預設時區是America/Los_Angeles。 - 檢查私人存取連接器是否能連接到 NTP 伺服器 0.pool.ntp.org。Private Access Connector 需要連接到 NTP 伺服器以同步其時鐘。預設情況下,Trend Vision One 使用公共 NTP 伺服器 0.pool.ntp.org。您也可以配置 Private Access Connector 連接到其他公共 NTP 伺服器或您組織內的本地 NTP 伺服器。Run the following command to configure the NTP server:
configure ntp server <address>注意
要使用公共 NTP 伺服器,請確保您的防火牆組態允許在 123 埠上輸出 UDP 流量。 - 執行以下命令將私有存取連接器虛擬裝置註冊到Trend Vision One:
register <registration_token>您可以從下載虛擬裝置的同一個畫面上獲取令牌 Trend Vision One。
- Open the gcloud CLI, and run the following
- 如果需要,請使用 CLI 來配置其他設定。如需有關可用命令的詳細資訊,請參閱 Private Access Connector CLI 指令。成功部署後,私有訪問連接器虛擬裝置將顯示在 Private Access Connectors 標籤的相應連接器組下。