En esta página, se explica cómo crear y administrar asociaciones de extremos de firewall con la consola de Google Cloud y Google Cloud CLI.
Cuando asocias un extremo de firewall con una o más redes de nube privada virtual (VPC), creas la asociación en la misma zona del extremo de firewall. También puedes asociar extremos de firewall en diferentes zonas a una red de VPC.
Antes de comenzar
Necesitas una red de VPC y una subred.
Debes enable la API de Compute Engine en tu proyecto de Google Cloud.
Debes enable la API de Network Security en tu proyecto de Google Cloud.
Debes enable la API de Certificate Authority Service en tu proyecto de Google Cloud.
Instala la CLI de gcloud si deseas ejecutar los ejemplos de la línea de comandos de
gcloud
de esta guía.Necesitas un extremo de firewall.
Roles
Para obtener los permisos que necesitas y poder crear, ver, actualizar o borrar las asociaciones del extremo de firewall, pídele a tu administrador que te otorgue los roles IAM necesarios en tu organización y proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.
Cuotas
Para ver las cuotas de las asociaciones de extremos de firewall, consulta Cuotas y límites.
Crear asociaciones de extremos de firewall
La consola de Google Cloud te permite crear asociaciones de extremos de firewall para cualquiera de los siguientes elementos:
Todas estas opciones crean la misma asociación. La única diferencia entre las asociaciones creadas en la consola de Google Cloud es donde empiezas el proceso de creación. En el caso de las asociaciones creadas con la gcloud CLI, el proceso es el mismo para todas las asociaciones de extremos de firewall.
Crear asociaciones de extremos de firewall para una red de VPC
Puedes asociar uno o más extremos de firewall a una red de VPC específica. Cada extremo de firewall asociado pertenece a una zona diferente dentro de la red de VPC.
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.
Elige la pestaña Extremos de firewall.
Haz clic en Crear asociación de extremo.
En la lista Región, selecciona la región en la que deseas crear la asociación de extremo de firewall.
En la lista Zona, selecciona la zona en la que deseas crear la asociación de extremo de firewall.
En la lista Extremo de firewall, selecciona el extremo de firewall que deseas asociar con esta red de VPC.
En la lista Política de inspección de TLS, selecciona la política de inspección de TLS que deseas agregar a esta red de VPC.
Haz clic en Crear.
gcloud
Para crear un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ORGANIZATION_ID
: Es el identificador de la organización en la que se crea el extremo de firewall.ZONE
: es la zona del extremo de firewall.FIREWALL_ENDPOINT_NAME
: es el nombre del extremo de firewall.PROJECT_NAME
: Es el nombre del proyecto de Google Cloud de la red.NETWORK_NAME
: el nombre de la redPROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.TLS_PROJECT_NAME
: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.REGION_NAME
: es el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME
: es el nombre de la política de inspección de TLS.Esta política se usa para la inspección de TLS del tráfico encriptado en la red especificada. Este es un argumento opcional.
Crea asociaciones de extremos de firewall para un extremo de firewall
Puedes asociar una o más redes de VPC a un extremo de firewall específico en la misma zona.
Consola
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en el extremo del firewall para ver sus detalles.
Haz clic en Crear asociación de extremo.
Haz clic en Agregar asociación de extremo.
En la lista Proyecto, elige el proyecto de Google Cloud en el que deseas crear la asociación de extremo de firewall.
Si la API de Compute Engine o la API de Network Security no están habilitadas para el proyecto de Google Cloud, haz clic en Habilitar.
En la lista Red, elige la red que deseas asociar al extremo del firewall.
En la lista Política de inspección de TLS, selecciona la política de inspección de TLS que deseas agregar a esta asociación.
Para agregar otra asociación, haz clic en Agregar asociación de extremo.
Haz clic en Crear.
gcloud
Para crear un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ORGANIZATION_ID
: Es el identificador de la organización en la que se crea el extremo de firewall.ZONE
: es la zona del extremo de firewall.FIREWALL_ENDPOINT_NAME
: es el nombre del extremo de firewall.PROJECT_NAME
: Es el nombre del proyecto de Google Cloud de la red.NETWORK_NAME
: el nombre de la redPROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.TLS_PROJECT_NAME
: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.REGION_NAME
: es el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME
: es el nombre de la política de inspección de TLS.Esta política se usa para la inspección de TLS del tráfico encriptado en la red especificada. Este es un argumento opcional.
Crea asociaciones de extremos de firewall en un proyecto
Puedes agregar varias asociaciones de extremos de firewall a un proyecto específico.
Consola
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyecto, selecciona tu proyecto de Google Cloud.
Haz clic en Crear asociación de extremo.
En la lista Región, selecciona la región en la que deseas crear la asociación de extremo de firewall.
En la lista Zona, selecciona la zona en la que deseas crear la asociación de extremo de firewall.
En la lista Extremo de firewall, elige el extremo de firewall que deseas agregar a la asociación.
En la lista Red, elige la red que deseas agregar a la asociación.
En la lista Política de inspección de TLS, elige la política de inspección de TLS que deseas agregar a esta asociación.
Haz clic en Crear.
gcloud
Para crear un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ORGANIZATION_ID
: Es el identificador de la organización en la que se crea el extremo de firewall.ZONE
: es la zona del extremo de firewall.FIREWALL_ENDPOINT_NAME
: es el nombre del extremo de firewall.PROJECT_NAME
: Es el nombre del proyecto de Google Cloud de la red.NETWORK_NAME
: el nombre de la redPROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.TLS_PROJECT_NAME
: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.REGION_NAME
: es el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME
: es el nombre de la política de inspección de TLS.Esta política se usa para la inspección de TLS del tráfico encriptado en la red especificada. Este es un argumento opcional.
Visualiza una asociación de extremo de firewall
Puedes ver los detalles de una asociación de extremo de firewall específica en una zona.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ZONE
: es la zona de la asociación de extremo de firewall.PROJECT_ID
: es el ID del proyecto de Google Cloud de la asociación del extremo de firewall.
Enumera las asociaciones de extremos de firewall
Puedes enumerar las asociaciones de extremos de firewall para una red, un proyecto o un extremo de firewall.
Enumera todas las asociaciones de extremos de firewall para una red de VPC
Puedes enumerar todas las asociaciones de extremos de firewall para una red de VPC específica.
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.
Elige la pestaña Extremos de firewall. En la pestaña, se muestra una lista de asociaciones de extremos de firewall configuradas.
gcloud
Para enumerar las asociaciones de extremos de firewall de una red específica, usa el Comando gcloud network-security firewall-endpoint-associations list
con la marca --filter
:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Reemplaza lo siguiente:
NETWORK_NAME
: Es el nombre de la red de VPC.PROJECT_ID
: es el ID del proyecto de Google Cloud de la asociación del extremo de firewall.
Enumera todas las asociaciones de extremos de firewall para un extremo de firewall
Puedes enumerar todas las asociaciones de un extremo de firewall específico.
Consola
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en el extremo del firewall para ver sus detalles.
En la página Detalles del extremo de firewall, en la tabla, se enumeran todas las asociaciones de extremos de firewall configuradas.
gcloud
Para enumerar las asociaciones de extremos de firewall de un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations list
con la marca --zone
:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Reemplaza lo siguiente:
ZONE
: es la zona del extremo de firewall. Para enumerar asociaciones de extremo de firewall en todas las zonas, usa-
.PROJECT_ID
: es el ID del proyecto de Google Cloud de la asociación del extremo de firewall.
Enumera todas las asociaciones de extremos de firewall en un proyecto
Puedes enumerar todas las asociaciones de extremos de firewall en un proyecto específico.
Consola
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyecto, selecciona tu proyecto de Google Cloud.
En la tabla de la sección Asociaciones de extremos de firewall, se enumeran todas las asociaciones de extremos de firewall configuradas para este proyecto.
gcloud
Para enumerar las asociaciones de extremos de firewall en un proyecto, usa el comando gcloud network-security firewall-endpoint-associations list
:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Reemplaza lo siguiente:
PROJECT_ID
: es el ID del proyecto de Google Cloud de la asociación del extremo de firewall.
Edita las asociaciones de extremos de firewall
La consola de Google Cloud te permite editar asociaciones de extremos de firewall para una red, una proyecto o un extremo de firewall. Las instrucciones de gcloud CLI que permiten editar las asociaciones de extremos de firewall son las mismas para todas estas opciones.
Edita una asociación de extremo de firewall para una red de VPC
Puedes editar una asociación de extremo de firewall para una zona específica de una red de VPC.
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.
Elige la pestaña Extremos de firewall. En la pestaña, se muestra una lista de asociaciones de extremos de firewall configuradas.
Haz clic en Editar junto a la asociación de extremo de firewall que deseas actualizar.
Para inhabilitar la asociación del extremo de firewall, desmarca la casilla de verificación Habilitar asociación.
Para actualizar la política de inspección de TLS, elige una política nueva de la lista Política de inspección de TLS.
Haz clic en Guardar.
gcloud
Para actualizar una asociación de extremo de firewall, usa el Comando gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ZONE
: es la zona de la asociación de extremo de firewall.PROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.TLS_PROJECT_NAME
: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.REGION_NAME
: es el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME
: es el nombre de la política de inspección de TLS.
Crea una asociación de extremo de firewall para un extremo de firewall
Puedes editar una asociación para un extremo de firewall específico.
Consola
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en el extremo del firewall para ver sus detalles.
En la página Detalles del extremo de firewall, en la tabla, se enumeran todas las asociaciones de extremos de firewall configuradas.
Haz clic en Editar junto a la asociación de extremo de firewall que deseas actualizar.
Para inhabilitar la asociación del extremo de firewall, desmarca la casilla de verificación Habilitar asociación.
Para actualizar la política de inspección de TLS, elige una política nueva de la lista Política de inspección de TLS.
Haz clic en Guardar.
gcloud
Para actualizar una asociación de extremo de firewall, usa el Comando gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ZONE
: es la zona de la asociación de extremo de firewall.PROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.TLS_PROJECT_NAME
: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.REGION_NAME
: es el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME
: es el nombre de la política de inspección de TLS.
Edita una asociación de extremo de firewall en un proyecto
Puedes editar una asociación de extremo de firewall en un proyecto específico.
Consola
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyecto, selecciona tu proyecto de Google Cloud.
En la tabla de la sección Asociaciones de extremos de firewall, se enumeran todas las asociaciones de extremos de firewall configuradas para este proyecto.
Junto a la asociación de extremo de firewall que deseas actualizar, haz clic en Editar.
Para inhabilitar la asociación del extremo de firewall, desmarca la casilla de verificación Habilitar asociación.
Para actualizar la política de inspección de TLS, elige una política nueva de la lista Política de inspección de TLS.
Haz clic en Guardar.
gcloud
Para actualizar una asociación de extremo de firewall, usa el Comando gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ZONE
: es la zona de la asociación de extremo de firewall.PROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.TLS_PROJECT_NAME
: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.REGION_NAME
: es el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME
: es el nombre de la política de inspección de TLS.
Borra una asociación de extremo de firewall
La consola de Google Cloud te permite borrar las asociaciones de extremos de firewall de una red, un proyecto o un extremo de firewall. Las instrucciones de gcloud CLI que permiten borrar las asociaciones de extremos de firewall son las mismas para todas estas opciones.
Crea una asociación de extremo de firewall para una red de VPC
Puedes borrar una asociación de extremo de firewall para una zona específica de una red de VPC.
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.
Elige la pestaña Extremos de firewall. En la pestaña, se muestra una lista de asociaciones de extremos de firewall configuradas.
Selecciona la asociación del extremo del firewall y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
gcloud
Para borrar un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ZONE
: es la zona de la asociación de extremo de firewall.PROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.
Borra una asociación de extremo de firewall para un extremo de firewall
Puedes borrar una asociación para un extremo de firewall específico.
Consola
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en el extremo del firewall para ver sus detalles.
En la página Detalles del extremo de firewall, en la tabla, se enumeran todas las asociaciones de extremos de firewall configuradas.
Selecciona la asociación del extremo del firewall y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
gcloud
Para borrar un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ZONE
: es la zona de la asociación de extremo de firewall.PROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.
Quita una asociación de extremo de firewall en un proyecto
Puedes borrar una asociación de extremo de firewall en un proyecto específico.
Consola
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyecto, selecciona tu proyecto de Google Cloud.
En la tabla de la sección Asociaciones de extremos de firewall, se enumeran todas las asociaciones de extremos de firewall configuradas para este proyecto.
Selecciona la asociación del extremo del firewall y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
gcloud
Para borrar un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Reemplaza lo siguiente:
NAME
: es el nombre de la asociación de extremo de firewall.ZONE
: es la zona de la asociación de extremo de firewall.PROJECT_ID
: es el ID del proyecto de Google Cloud en el que se crea la asociación.