Questa pagina spiega come creare e gestire le associazioni di endpoint del firewall utilizzando la console Google Cloud e Google Cloud CLI.
Quando associ un endpoint firewall con una o più reti Virtual Private Cloud (VPC), crei l'associazione nella stessa zona dell'endpoint firewall. Puoi anche associare gli endpoint firewall in zone diverse a una rete VPC.
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo progetto Google Cloud.
Devi abilitare l'API Network Security nel tuo progetto Google Cloud.
Devi abilitare l'API Certificate Authority Service nel tuo progetto Google Cloud.
Installa gcloud CLI se vuoi eseguire gli esempi della riga di comando
gcloud
in questa guida.È necessario un endpoint firewall.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare associazioni di endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari per la tua organizzazione e il tuo progetto. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.
Quote
Per visualizzare le quote per le associazioni di endpoint firewall, consulta Quote e limiti.
Crea associazioni di endpoint firewall
La console Google Cloud ti consente di creare associazioni di endpoint firewall per uno qualsiasi dei seguenti elementi:
Tutte queste opzioni creano la stessa associazione. L'unica differenza tra le associazioni create nella console Google Cloud è il punto di partenza della procedura di creazione. Per le associazioni create utilizzando gcloud CLI, la procedura è la stessa per tutte le associazioni di endpoint firewall.
Creare associazioni di endpoint firewall per una rete VPC
Puoi associare uno o più endpoint firewall a una rete VPC specifica. Ciascuno degli endpoint firewall associati appartiene a una zona diversa all'interno della rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzarne la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall.
Fai clic su Crea associazione di endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione dell'endpoint del firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione dell'endpoint del firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi associare a questa rete VPC.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa rete VPC.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ORGANIZATION_ID
: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE
: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME
: il nome dell'endpoint firewall.PROJECT_NAME
: il nome del progetto Google Cloud della rete.NETWORK_NAME
: il nome della rete.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME
: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME
: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME
: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Creare associazioni di endpoint firewall per un endpoint firewall
Puoi associare una o più reti VPC a un endpoint firewall specifico nella stessa zona.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint del firewall per visualizzarne i dettagli.
Fai clic su Crea associazione di endpoint.
Fai clic su Aggiungi associazione endpoint.
Nell'elenco Progetto, seleziona il progetto Google Cloud in cui vuoi creare l'associazione dell'endpoint del firewall.
Se l'API Compute Engine e l'API Network Security non sono abilitate per il progetto Google Cloud, fai clic su Abilita.
Nell'elenco Rete, seleziona la rete da associare all'endpoint del firewall.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ORGANIZATION_ID
: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE
: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME
: il nome dell'endpoint firewall.PROJECT_NAME
: il nome del progetto Google Cloud della rete.NETWORK_NAME
: il nome della rete.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME
: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME
: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME
: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Creare associazioni di endpoint firewall in un progetto
Puoi aggiungere più associazioni di endpoint firewall a un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud.
Fai clic su Crea associazione di endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione dell'endpoint del firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione dell'endpoint del firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi aggiungere all'associazione.
Nell'elenco Rete, seleziona la rete che vuoi aggiungere all'associazione.
In Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ORGANIZATION_ID
: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE
: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME
: il nome dell'endpoint firewall.PROJECT_NAME
: il nome del progetto Google Cloud della rete.NETWORK_NAME
: il nome della rete.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME
: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME
: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME
: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Visualizzare un'associazione di endpoint firewall
Puoi visualizzare i dettagli di un'associazione di endpoint firewall specifica in una zona.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ZONE
: la zona dell'associazione di endpoint firewall.PROJECT_ID
: l'ID progetto Google Cloud dell'associazione di endpoint del firewall.
Elenca le associazioni di endpoint firewall
Puoi elencare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall.
Elenca tutte le associazioni di endpoint firewall per una rete VPC
Puoi elencare tutte le associazioni di endpoint firewall per una rete VPC specifica.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzarne la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
gcloud
Per elencare le associazioni di endpoint firewall per una rete specifica, utilizza il
comando gcloud network-security firewall-endpoint-associations list
con il flag --filter
:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Sostituisci quanto segue:
NETWORK_NAME
: il nome della rete VPC.PROJECT_ID
: l'ID progetto Google Cloud dell'associazione di endpoint del firewall.
Elenca tutte le associazioni di endpoint firewall per un endpoint firewall
Puoi elencare tutte le associazioni di un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint del firewall per visualizzarne i dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
gcloud
Per elencare le associazioni di endpoint firewall per un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations list
con il flag --zone
:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
ZONE
: la zona dell'endpoint firewall. Per elencare le associazioni di endpoint firewall in tutte le zone, utilizza-
.PROJECT_ID
: l'ID progetto Google Cloud dell'associazione di endpoint del firewall.
Elenca tutte le associazioni di endpoint firewall in un progetto
Puoi elencare tutte le associazioni di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
gcloud
Per elencare le associazioni di endpoint firewall in un progetto, utilizza il
comando gcloud network-security firewall-endpoint-associations list
:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID progetto Google Cloud dell'associazione di endpoint del firewall.
Modificare le associazioni di endpoint firewall
La console Google Cloud ti consente di modificare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall. Le istruzioni dell'interfaccia a riga di comando gcloud per modificare le associazioni di endpoint firewall sono le stesse per tutte queste opzioni.
Modificare un'associazione di endpoint firewall per una rete VPC
Puoi modificare un'associazione di endpoint firewall per una zona specifica in una rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzarne la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
Fai clic su Modifica accanto all'associazione di endpoint del firewall da aggiornare.
Per disattivare l'associazione dell'endpoint firewall, deseleziona la casella di controllo Attiva associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ZONE
: la zona dell'associazione di endpoint firewall.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME
: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME
: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME
: il nome del criterio di ispezione TLS.
Modificare un'associazione di endpoint firewall per un endpoint firewall
Puoi modificare un'associazione per un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint del firewall per visualizzarne i dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
Fai clic su Modifica accanto all'associazione di endpoint del firewall da aggiornare.
Per disattivare l'associazione dell'endpoint firewall, deseleziona la casella di controllo Attiva associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ZONE
: la zona dell'associazione di endpoint firewall.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME
: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME
: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME
: il nome del criterio di ispezione TLS.
Modificare un'associazione di endpoint firewall in un progetto
Puoi modificare un'associazione di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Fai clic su Modifica accanto all'associazione di endpoint firewall da aggiornare.
Per disattivare l'associazione dell'endpoint firewall, deseleziona la casella di controllo Attiva associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ZONE
: la zona dell'associazione di endpoint firewall.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME
: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME
: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME
: il nome del criterio di ispezione TLS.
Eliminare un'associazione di endpoint firewall
La console Google Cloud ti consente di eliminare le associazioni di endpoint firewall da una rete, un progetto o un endpoint firewall.
Quando un progetto Google Cloud viene eliminato, le associazioni degli endpoint firewall associati vengono rimosse automaticamente. Questa eliminazione è irreversibile, anche se il progetto viene ripristinato in un secondo momento.
Tuttavia, a volte la procedura di eliminazione di queste associazioni potrebbe non andare a buon fine.
In questo caso, se il progetto viene ripristinato, gli endpoint del firewall associati vengono visualizzati nello stato ORPHAN
all'interno del progetto ripristinato. Questo indica il collegamento interrotto tra il progetto e le relative risorse a causa dell'eliminazione non riuscita.
Puoi visualizzare queste associazioni orfane nella console Google Cloud, ma non puoi modificarle. Cloud Next Generation Firewall esegue periodicamente un processo in background che elimina queste risorse orfane.
Eliminare un'associazione di endpoint firewall per una rete VPC
Puoi eliminare un'associazione di endpoint firewall per una zona specifica in una rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzarne la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
Seleziona l'associazione degli endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ZONE
: la zona dell'associazione di endpoint firewall.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.
Eliminare un'associazione di endpoint firewall per un endpoint firewall
Puoi eliminare un'associazione per un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint del firewall per visualizzarne i dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
Seleziona l'associazione degli endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ZONE
: la zona dell'associazione di endpoint firewall.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.
Eliminare un'associazione di endpoint firewall in un progetto
Puoi eliminare un'associazione di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Seleziona l'associazione degli endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME
: il nome dell'associazione di endpoint firewall.ZONE
: la zona dell'associazione di endpoint firewall.PROJECT_ID
: l'ID progetto Google Cloud in cui viene creata l'associazione.
Passaggi successivi
- Utilizzare criteri e regole firewall gerarchici
- Utilizzare criteri e regole firewall di rete globali