Esta página explica como criar e gerir associações de pontos finais de firewall através da Google Cloud consola e da Google Cloud CLI.
Quando associa um ponto final da firewall a uma ou mais redes da nuvem virtual privada (VPC), cria a associação na mesma zona do ponto final da firewall. Também pode associar pontos finais de firewall em diferentes zonas a uma rede VPC.
Antes de começar
Precisa de uma rede de VPC e de uma sub-rede.
Tem de ativar a API Compute Engine no seu Google Cloud projeto.
Tem de ativar a API Network Security no seu Google Cloud projeto.
Tem de ativar a API Certificate Authority Service no seu Google Cloud projeto.
Instale a CLI gcloud se quiser executar os exemplos de linha de comandos neste guia.
gcloudPrecisa de um ponto final da firewall.
Funções
Para obter as autorizações necessárias para criar, ver, atualizar ou eliminar associações de pontos finais de firewall, peça ao seu administrador para lhe conceder as funções do IAM necessárias na sua organização e projeto. Para mais informações sobre a concessão de funções, consulte o artigo Gerir acesso.
Quotas
Para ver as quotas das associações de pontos finais de firewall, consulte o artigo Quotas e limites.
Crie associações de pontos finais de firewall
A consolaGoogle Cloud permite-lhe criar associações de pontos finais de firewall para qualquer um dos seguintes elementos:
Todas estas opções criam a mesma associação. A única diferença entre as associações criadas na Google Cloud consola é onde começa o processo de criação das mesmas. Para associações criadas através da CLI gcloud, o processo é o mesmo para todas as associações de pontos finais da firewall.
Crie associações de pontos finais de firewall para uma rede da VPC
Pode associar um ou mais pontos finais de firewall a uma rede VPC específica. Cada um dos endpoints de firewall associados pertence a uma zona diferente na rede VPC.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique no nome de uma rede de VPC para apresentar a página de detalhes da rede de VPC.
Selecione o separador Firewall endpoints.
Clique em Criar associação de ponto final.
Na lista Região, selecione a região onde quer criar a associação do ponto final da firewall.
Na lista Zona, selecione a zona onde quer criar a associação do ponto final da firewall.
Na lista Ponto final da firewall, selecione o ponto final da firewall que quer associar a esta rede VPC.
Na lista Política de inspeção de TLS, selecione a política de inspeção de TLS que quer adicionar a esta rede VPC.
Clique em Criar.
gcloud
Para criar uma associação de ponto final de firewall, use o gcloud network-security
firewall-endpoint-associations createcomando:
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ORGANIZATION_ID: o identificador da organização onde o ponto final da firewall é criado.ZONE: a zona do ponto final da firewall.FIREWALL_ENDPOINT_NAME: o nome do ponto final da firewall.PROJECT_NAME: o nome do projeto da rede. Google CloudNETWORK_NAME: o nome da rede.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.TLS_PROJECT_NAME: o Google Cloud nome do projeto da política de inspeção TLS.REGION_NAME: o nome da região da política de inspeção TLS.TLS_POLICY_NAME: o nome da política de inspeção TLS.Esta política é usada para a inspeção TLS do tráfego encriptado na rede especificada. Este é um argumento opcional.
Crie associações de pontos finais de firewall para um ponto final de firewall
Pode associar uma ou mais redes da VPC a um ponto final de firewall específico na mesma zona.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione a sua organização.
Clique no ponto final da firewall para ver os respetivos detalhes.
Clique em Criar associação de ponto final.
Clique em Adicionar associação de ponto final.
Na lista Projeto, selecione o Google Cloud projeto onde quer criar a associação do ponto final da firewall.
Se a API Compute Engine e a API Network Security não estiverem ativadas para o Google Cloud projeto, clique em Ativar.
Na lista Rede, selecione a rede que quer associar ao ponto final da firewall.
Na lista Política de inspeção de TLS, selecione a política de inspeção de TLS que quer adicionar a esta associação.
Para adicionar outra associação, clique em Adicionar associação de ponto final.
Clique em Criar.
gcloud
Para criar uma associação de ponto final de firewall, use o gcloud network-security
firewall-endpoint-associations createcomando:
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ORGANIZATION_ID: o identificador da organização onde o ponto final da firewall é criado.ZONE: a zona do ponto final da firewall.FIREWALL_ENDPOINT_NAME: o nome do ponto final da firewall.PROJECT_NAME: o nome do projeto da rede. Google CloudNETWORK_NAME: o nome da rede.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.TLS_PROJECT_NAME: o Google Cloud nome do projeto da política de inspeção TLS.REGION_NAME: o nome da região da política de inspeção TLS.TLS_POLICY_NAME: o nome da política de inspeção TLS.Esta política é usada para a inspeção TLS do tráfego encriptado na rede especificada. Este é um argumento opcional.
Crie associações de pontos finais de firewall num projeto
Pode adicionar várias associações de pontos finais de firewall a um projeto específico.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione o seu Google Cloud projeto.
Clique em Criar associação de ponto final.
Na lista Região, selecione a região onde quer criar a associação do ponto final da firewall.
Na lista Zona, selecione a zona onde quer criar a associação do ponto final da firewall.
Na lista Ponto final da firewall, selecione o ponto final da firewall que quer adicionar à associação.
Na lista Rede, selecione a rede que quer adicionar à associação.
Na Política de inspeção de TLS, selecione a política de inspeção de TLS que quer adicionar a esta associação.
Clique em Criar.
gcloud
Para criar uma associação de ponto final de firewall, use o gcloud network-security
firewall-endpoint-associations createcomando:
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ORGANIZATION_ID: o identificador da organização onde o ponto final da firewall é criado.ZONE: a zona do ponto final da firewall.FIREWALL_ENDPOINT_NAME: o nome do ponto final da firewall.PROJECT_NAME: o Google Cloud nome do projeto da rede.NETWORK_NAME: o nome da rede.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.TLS_PROJECT_NAME: o Google Cloud nome do projeto da política de inspeção TLS.REGION_NAME: o nome da região da política de inspeção de TLS.TLS_POLICY_NAME: o nome da política de inspeção TLS.Esta política é usada para a inspeção TLS do tráfego encriptado na rede especificada. Este é um argumento opcional.
Veja uma associação de ponto final de firewall
Pode ver os detalhes de uma associação de ponto final de firewall específica numa zona.
gcloud
Para ver uma associação de ponto final da firewall, use o gcloud network-security
firewall-endpoint-associations describecomando:
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ZONE: a zona da associação do ponto final da firewall.PROJECT_ID: o Google Cloud ID do projeto da associação do ponto final da firewall.
Apresente associações de pontos finais de firewall
Pode listar as associações de pontos finais da firewall para uma rede, um projeto ou um ponto final da firewall.
Liste todas as associações de pontos finais de firewall para uma rede de VPC
Pode listar todas as associações de pontos finais da firewall para uma rede VPC específica.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique no nome de uma rede de VPC para apresentar a página de detalhes da rede de VPC.
Selecione o separador Firewall endpoints. O separador mostra uma lista de associações de pontos finais de firewall configuradas.
gcloud
Para apresentar uma lista de associações de pontos finais de firewall para uma rede específica, use o comando gcloud network-security firewall-endpoint-associations list com a flag --filter:
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Substitua o seguinte:
NETWORK_NAME: o nome da rede VPC.PROJECT_ID: o Google Cloud ID do projeto da associação do ponto final da firewall.
Apresente todas as associações de pontos finais de firewall para um ponto final de firewall
Pode listar todas as associações de um ponto final de firewall específico.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione a sua organização.
Clique no ponto final da firewall para ver os respetivos detalhes.
Na página Detalhes do ponto final da firewall, a tabela apresenta todas as associações de pontos finais da firewall configuradas.
gcloud
Para apresentar uma lista de associações de pontos finais de firewall para um ponto final de firewall, use o comando gcloud network-security firewall-endpoint-associations list com a flag --zone:
gcloud network-security firewall-endpoint-associations list \
--zone ZONE \
[ --project PROJECT_ID ]
Substitua o seguinte:
ZONE: a zona do ponto final da firewall. Para listar as associações de pontos finais da firewall em todas as zonas, use-.PROJECT_ID: o Google Cloud ID do projeto da associação do ponto final da firewall.
Apresenta todas as associações de pontos finais de firewall num projeto
Pode listar todas as associações de pontos finais da firewall num projeto específico.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione o seu Google Cloud projeto.
Na secção Associações de pontos finais da firewall, a tabela apresenta todas as associações de pontos finais da firewall configuradas para este projeto.
gcloud
Para apresentar uma lista de associações de pontos finais de firewall num projeto, use o comando gcloud
network-security firewall-endpoint-associations list:
gcloud network-security firewall-endpoint-associations list \
[--project PROJECT_ID ]
Substitua o seguinte:
PROJECT_ID: o Google Cloud ID do projeto da associação do ponto final da firewall.
Edite associações de pontos finais da firewall
Google Cloud A consola permite-lhe editar associações de pontos finais de firewall para uma rede, um projeto ou um ponto final de firewall. As instruções da CLI gcloud para editar associações de pontos finais de firewall são as mesmas para todas estas opções.
Edite uma associação de ponto final de firewall para uma rede da VPC
Pode editar uma associação de ponto final de firewall para uma zona específica numa rede VPC.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique no nome de uma rede de VPC para apresentar a página de detalhes da rede de VPC.
Selecione o separador Firewall endpoints. O separador mostra uma lista de associações de pontos finais de firewall configuradas.
Clique em Editar junto à associação de ponto final da firewall que quer atualizar.
Para desativar a associação do ponto final da firewall, desmarque a caixa de verificação Ativar associação.
Para atualizar a política de inspeção TLS, selecione uma nova política na lista Política de inspeção TLS.
Clique em Guardar.
gcloud
Para atualizar uma associação de ponto final de firewall, use o comando
gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ZONE: a zona da associação do ponto final da firewall.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.TLS_PROJECT_NAME: o Google Cloud nome do projeto da política de inspeção TLS.REGION_NAME: o nome da região da política de inspeção de TLS.TLS_POLICY_NAME: o nome da política de inspeção TLS.
Edite uma associação de ponto final de firewall para um ponto final de firewall
Pode editar uma associação para um ponto final de firewall específico.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione a sua organização.
Clique no ponto final da firewall para ver os respetivos detalhes.
Na página Detalhes do ponto final da firewall, a tabela apresenta todas as associações de pontos finais da firewall configuradas.
Clique em Editar junto à associação de ponto final da firewall que quer atualizar.
Para desativar a associação do ponto final da firewall, desmarque a caixa de verificação Ativar associação.
Para atualizar a política de inspeção TLS, selecione uma nova política na lista Política de inspeção TLS.
Clique em Guardar.
gcloud
Para atualizar uma associação de ponto final de firewall, use o gcloud network-security
firewall-endpoint-associations updatecomando:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ZONE: a zona da associação do ponto final da firewall.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.TLS_PROJECT_NAME: o Google Cloud nome do projeto da política de inspeção TLS.REGION_NAME: o nome da região da política de inspeção TLS.TLS_POLICY_NAME: o nome da política de inspeção TLS.
Edite uma associação de ponto final de firewall num projeto
Pode editar uma associação de ponto final de firewall num projeto específico.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione o seu Google Cloud projeto.
Na secção Associações de pontos finais da firewall, a tabela apresenta todas as associações de pontos finais da firewall configuradas para este projeto.
Junto à associação de ponto final da firewall que quer atualizar, clique em Editar.
Para desativar a associação do ponto final da firewall, desmarque a caixa de verificação Ativar associação.
Para atualizar a política de inspeção TLS, selecione uma nova política na lista Política de inspeção TLS.
Clique em Guardar.
gcloud
Para atualizar uma associação de ponto final de firewall, use o gcloud network-security
firewall-endpoint-associations updatecomando:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ZONE: a zona da associação do ponto final da firewall.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.TLS_PROJECT_NAME: o Google Cloud nome do projeto da política de inspeção TLS.REGION_NAME: o nome da região da política de inspeção de TLS.TLS_POLICY_NAME: o nome da política de inspeção TLS.
Elimine uma associação de ponto final de firewall
Google Cloud A consola permite-lhe eliminar as associações de pontos finais de firewall de uma rede, um projeto ou um ponto final de firewall.
Quando um Google Cloud projeto é eliminado, as respetivas associações de pontos finais da firewall são removidas automaticamente. Esta eliminação é irreversível, mesmo que o projeto seja restaurado posteriormente.
No entanto, o processo de eliminação destas associações pode, por vezes, falhar.
Se isto acontecer e o projeto for restaurado, os pontos finais da firewall associados aparecem no estado ORPHAN no projeto restaurado. Isto indica a associação interrompida entre o projeto e os respetivos recursos devido à eliminação sem êxito.
Pode ver estas associações órfãs na Google Cloud consola, no entanto, não pode editá-las. A firewall de nova geração do Google Cloud executa periodicamente um processo em segundo plano que elimina estes recursos órfãos.
Elimine uma associação de ponto final de firewall para uma rede de VPC
Pode eliminar uma associação de ponto final de firewall para uma zona específica numa rede VPC.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique no nome de uma rede de VPC para apresentar a página de detalhes da rede de VPC.
Selecione o separador Firewall endpoints. O separador mostra uma lista de associações de pontos finais de firewall configuradas.
Selecione a associação do ponto final da firewall e, de seguida, clique em Eliminar.
Clique novamente em Eliminar para confirmar.
gcloud
Para eliminar uma associação de ponto final de firewall, use o comando gcloud network-security
firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ZONE: a zona da associação do ponto final da firewall.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.
Elimine uma associação de ponto final de firewall para um ponto final de firewall
Pode eliminar uma associação para um ponto final de firewall específico.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione a sua organização.
Clique no ponto final da firewall para ver os respetivos detalhes.
Na página Detalhes do ponto final da firewall, a tabela apresenta todas as associações de pontos finais da firewall configuradas.
Selecione a associação do ponto final da firewall e, de seguida, clique em Eliminar.
Clique novamente em Eliminar para confirmar.
gcloud
Para eliminar uma associação de ponto final de firewall, use o comando gcloud network-security
firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ZONE: a zona da associação do ponto final da firewall.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.
Elimine uma associação de ponto final de firewall num projeto
Pode eliminar uma associação de ponto final de firewall num projeto específico.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione o seu Google Cloud projeto.
Na secção Associações de pontos finais da firewall, a tabela apresenta todas as associações de pontos finais da firewall configuradas para este projeto.
Selecione a associação do ponto final da firewall e, de seguida, clique em Eliminar.
Clique novamente em Eliminar para confirmar.
gcloud
Para eliminar uma associação de ponto final de firewall, use o comando gcloud network-security
firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Substitua o seguinte:
NAME: o nome da associação do ponto final da firewall.ZONE: a zona da associação do ponto final da firewall.PROJECT_ID: o Google Cloud ID do projeto onde a associação é criada.