Creare e gestire le associazioni di endpoint firewall

Questa pagina spiega come creare e gestire l'endpoint firewall le associazioni utilizzando la console Google Cloud e Google Cloud CLI.

Quando associ un endpoint firewall con una o più reti Virtual Private Cloud (VPC), crei l'associazione nella stessa zona dell'endpoint firewall. Puoi anche associare gli endpoint firewall in zone diverse a una rete VPC.

Prima di iniziare

Ruoli

Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare associazioni di endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari per la tua organizzazione e il tuo progetto. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci accesso.

Quote

Per visualizzare le quote per le associazioni di endpoint firewall, consulta Quote e limiti.

Crea associazioni di endpoint firewall

La console Google Cloud ti consente di creare associazioni di endpoint firewall per uno qualsiasi dei seguenti elementi:

Tutte queste opzioni creano la stessa associazione. L'unica differenza tra le associazioni create nella console Google Cloud è il punto di partenza della procedura di creazione. Per le associazioni create utilizzando gcloud CLI, il processo è uguale per tutti gli endpoint firewall associazioni.

Creare associazioni di endpoint firewall per una rete VPC

Puoi associare uno o più endpoint firewall a una rete VPC specifica. Ciascuno degli endpoint firewall associati appartiene a una zona diversa all'interno della rete VPC.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai alle reti VPC

  2. Fai clic sul nome di una rete VPC per visualizzarne la Pagina Dettagli rete VPC.

  3. Seleziona la scheda Endpoint firewall.

  4. Fai clic su Crea associazione endpoint.

  5. Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione dell'endpoint del firewall.

  6. Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione dell'endpoint del firewall.

  7. Nell'elenco Endpoint firewall, seleziona l'endpoint firewall di cui da associare a questa rete VPC.

  8. Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa rete VPC.

  9. Fai clic su Crea.

gcloud

Per creare un'associazione di endpoint firewall, utilizza Comando gcloud network-security firewall-endpoint-associations create:

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy  projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Sostituisci quanto segue:

  • NAME: il nome dell'associazione di endpoint firewall.

  • ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.

  • ZONE: la zona dell'endpoint firewall.

  • FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.

  • PROJECT_NAME: il nome del progetto Google Cloud della rete.

  • NETWORK_NAME: il nome della rete.

  • PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.

  • TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.

  • REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.

  • TLS_POLICY_NAME: il nome del criterio di ispezione TLS.

    Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.

Creare associazioni di endpoint firewall per un endpoint firewall

Puoi associare una o più reti VPC a un firewall specifico endpoint nella stessa zona.

Console

  1. Nella console Google Cloud, vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. Fai clic sull'endpoint del firewall per visualizzarne i dettagli.

  4. Fai clic su Crea associazione di endpoint.

  5. Fai clic su Aggiungi associazione endpoint.

  6. Nell'elenco Progetto, seleziona il progetto Google Cloud in cui vuoi creare l'associazione dell'endpoint del firewall.

    Se l'API Compute Engine e l'API Network Security non sono abilitate per il progetto Google Cloud, fai clic su Abilita.

  7. Nell'elenco Rete, seleziona la rete da associare all'endpoint firewall.

  8. Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.

  9. Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.

  10. Fai clic su Crea.

gcloud

Per creare un'associazione di endpoint firewall, utilizza Comando gcloud network-security firewall-endpoint-associations create:

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Sostituisci quanto segue:

  • NAME: il nome dell'associazione di endpoint firewall.
  • ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.

  • ZONE: la zona dell'endpoint firewall.

  • FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.

  • PROJECT_NAME: il nome del progetto Google Cloud della rete.

  • NETWORK_NAME: il nome della rete.

  • PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.

  • TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.

  • REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.

  • TLS_POLICY_NAME: il nome del criterio di ispezione TLS.

    Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.

Creare associazioni di endpoint firewall in un progetto

Puoi aggiungere più associazioni di endpoint firewall a un progetto specifico.

Console

  1. Nella console Google Cloud, vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud.

  3. Fai clic su Crea associazione di endpoint.

  4. Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione dell'endpoint del firewall.

  5. Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione degli endpoint firewall.

  6. Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi aggiungere all'associazione.

  7. Nell'elenco Rete, seleziona la rete che vuoi aggiungere all'associazione.

  8. In Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.

  9. Fai clic su Crea.

gcloud

Per creare un'associazione di endpoint firewall, utilizza il comando gcloud network-security firewall-endpoint-associations create:

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Sostituisci quanto segue:

  • NAME: il nome dell'associazione dell'endpoint firewall.

  • ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.

  • ZONE: la zona dell'endpoint firewall.

  • FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.

  • PROJECT_NAME: il nome del progetto Google Cloud della rete.

  • NETWORK_NAME: il nome della rete.

  • PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.

  • TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.

  • REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.

  • TLS_POLICY_NAME: il nome del criterio di ispezione TLS.

    Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.

Visualizzare un'associazione di endpoint firewall

Puoi visualizzare i dettagli di un'associazione di endpoint firewall specifica in una zona.

gcloud

gcloud network-security firewall-endpoint-associations \
   describe NAME \
   --zone ZONE \
   --project PROJECT_ID

Sostituisci quanto segue:

  • NAME: il nome dell'associazione dell'endpoint firewall.

  • ZONE: la zona dell'associazione dell'endpoint firewall.

  • PROJECT_ID: l'ID progetto Google Cloud dell'associazione di endpoint del firewall.

Elenca le associazioni di endpoint firewall

Puoi elencare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall.

Elenca tutte le associazioni di endpoint firewall per una rete VPC

Puoi elencare tutte le associazioni di endpoint firewall per una specifica rete VPC.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai alle reti VPC

  2. Fai clic sul nome di una rete VPC per visualizzarne la Pagina Dettagli rete VPC.

  3. Seleziona la scheda Endpoint firewall. La scheda mostra un elenco le associazioni di endpoint firewall configurate.

gcloud

Per elencare le associazioni di endpoint firewall per una rete specifica, utilizza il metodo Comando gcloud network-security firewall-endpoint-associations list con il flag --filter:

gcloud network-security firewall-endpoint-associations list \
   --filter network:NETWORK_NAME \
   --project PROJECT_ID

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della rete VPC.
  • PROJECT_ID: l'ID del progetto Google Cloud del firewall dell'endpoint associato.

Elenca tutte le associazioni di endpoint firewall per un endpoint firewall

Puoi elencare tutte le associazioni di un endpoint firewall specifico.

Console

  1. Nella console Google Cloud, vai alla pagina Endpoint firewall.

    Vai agli endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.

    Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate.

gcloud

Per elencare le associazioni di endpoint firewall per un endpoint firewall, utilizza il metodo Comando gcloud network-security firewall-endpoint-associations list con il flag --zone:

gcloud network-security firewall-endpoint-associations list \
   --zone ZONE \
   --project PROJECT_ID

Sostituisci quanto segue:

  • ZONE: la zona dell'endpoint firewall. Elenco le associazioni di endpoint firewall in tutte le zone, utilizzano -.
  • PROJECT_ID: l'ID progetto Google Cloud dell'associazione di endpoint del firewall.

Elenca tutte le associazioni di endpoint firewall in un progetto

Puoi elencare tutte le associazioni di endpoint firewall in un progetto specifico.

Console

  1. Nella console Google Cloud, vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud.

    Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate per questo progetto.

gcloud

Per elencare le associazioni di endpoint firewall in un progetto, utilizza Comando gcloud network-security firewall-endpoint-associations list:

gcloud network-security firewall-endpoint-associations list \
   --project PROJECT_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud del firewall dell'endpoint associato.

Modificare le associazioni di endpoint firewall

La console Google Cloud ti consente di modificare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall. Le istruzioni dell'interfaccia a riga di comando gcloud per modificare le associazioni di endpoint firewall sono le stesse per tutte queste opzioni.

Modifica un'associazione di endpoint firewall per una rete VPC

Puoi modificare un'associazione di endpoint firewall per una zona specifica in una rete VPC.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai alle reti VPC

  2. Fai clic sul nome di una rete VPC per visualizzarne la pagina Dettagli rete VPC.

  3. Seleziona la scheda Endpoint firewall. La scheda mostra un elenco le associazioni di endpoint firewall configurate.

  4. Fai clic su Modifica accanto all'associazione di endpoint del firewall da aggiornare.

  5. Per disabilitare l'associazione degli endpoint firewall, cancella i campi Casella di controllo Attiva associazione.

  6. Per aggiornare il criterio di ispezione TLS, seleziona un nuovo criterio dall'elenco Criterio di ispezione TLS.

  7. Fai clic su Salva.

gcloud

Per aggiornare un'associazione di endpoint firewall, utilizza il comando gcloud network-security firewall-endpoint-associations update:

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Sostituisci quanto segue:

  • NAME: il nome dell'associazione dell'endpoint firewall.

  • ZONE: la zona dell'associazione di endpoint firewall.

  • PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.

  • TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.

  • REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.

  • TLS_POLICY_NAME: il nome del criterio di ispezione TLS.

Modifica l'associazione di un endpoint firewall per un endpoint firewall

Puoi modificare un'associazione per un endpoint firewall specifico.

Console

  1. Nella console Google Cloud, vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.

    Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.

  4. Fai clic su Modifica accanto all'associazione di endpoint del firewall da aggiornare.

  5. Per disabilitare l'associazione degli endpoint firewall, cancella i campi Casella di controllo Attiva associazione.

  6. Per aggiornare il criterio di ispezione TLS, seleziona un nuovo criterio dall'elenco Criterio di ispezione TLS.

  7. Fai clic su Salva.

gcloud

Per aggiornare un'associazione di endpoint firewall, utilizza Comando gcloud network-security firewall-endpoint-associations update:

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Sostituisci quanto segue:

  • NAME: il nome dell'associazione dell'endpoint firewall.

  • ZONE: la zona dell'associazione di endpoint firewall.

  • PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.

  • TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.

  • REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.

  • TLS_POLICY_NAME: il nome del criterio di ispezione TLS.

Modificare un'associazione di endpoint firewall in un progetto

Puoi modificare un'associazione di endpoint firewall in un progetto specifico.

Console

  1. Nella console Google Cloud, vai alla pagina Endpoint firewall.

    Vai agli endpoint firewall

  2. Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.

    Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.

  3. Accanto all'associazione dell'endpoint firewall che vuoi fai clic su Modifica.

  4. Per disabilitare l'associazione degli endpoint firewall, cancella i campi Casella di controllo Attiva associazione.

  5. Per aggiornare il criterio di ispezione TLS, seleziona un nuovo criterio dall'elenco Criterio di ispezione TLS.

  6. Fai clic su Salva.

gcloud

Per aggiornare un'associazione di endpoint firewall, utilizza il comando gcloud network-security firewall-endpoint-associations update:

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Sostituisci quanto segue:

  • NAME: il nome dell'associazione dell'endpoint firewall.

  • ZONE: la zona dell'associazione di endpoint firewall.

  • PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.

  • TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.

  • REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.

  • TLS_POLICY_NAME: il nome del criterio di ispezione TLS.

Elimina un'associazione di endpoint firewall

La console Google Cloud consente di eliminare le associazioni di endpoint firewall da un una rete, un progetto o un endpoint firewall. Le istruzioni della CLI gcloud per eliminare le associazioni di endpoint firewall sono le stesse per tutte queste opzioni.

Elimina l'associazione di un endpoint firewall per una rete VPC

Puoi eliminare un'associazione di endpoint firewall per una zona specifica in una rete VPC.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic sul nome di una rete VPC per visualizzarne la pagina Dettagli rete VPC.

  3. Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.

  4. Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.

  5. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare un'associazione di endpoint firewall, utilizza il comando gcloud network-security firewall-endpoint-associations delete:

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

Sostituisci quanto segue:

  • NAME: il nome dell'associazione dell'endpoint firewall.

  • ZONE: la zona dell'associazione di endpoint firewall.

  • PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.

Elimina l'associazione di un endpoint firewall per un endpoint firewall

Puoi eliminare un'associazione per un endpoint firewall specifico.

Console

  1. Nella console Google Cloud, vai alla pagina Endpoint firewall.

    Vai agli endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.

    Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate.

  4. Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.

  5. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare un'associazione di endpoint firewall, utilizza Comando gcloud network-security firewall-endpoint-associations delete:

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

Sostituisci quanto segue:

  • NAME: il nome dell'associazione dell'endpoint firewall.

  • ZONE: la zona dell'associazione di endpoint firewall.

  • PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.

Eliminare un'associazione di endpoint firewall in un progetto

Puoi eliminare un'associazione di endpoint firewall in un progetto specifico.

Console

  1. Nella console Google Cloud, vai alla pagina Endpoint firewall.

    Vai agli endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud.

    Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.

  3. Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare un'associazione di endpoint firewall, utilizza Comando gcloud network-security firewall-endpoint-associations delete:

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

Sostituisci quanto segue:

  • NAME: il nome dell'associazione dell'endpoint firewall.

  • ZONE: la zona dell'associazione di endpoint firewall.

  • PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.

Passaggi successivi