Questa pagina spiega come creare e gestire le associazioni di endpoint firewall utilizzando la console Google Cloud e Google Cloud CLI.
Quando associ un endpoint firewall a una o più reti Virtual Private Cloud (VPC), crei l'associazione nella stessa zona dell'endpoint firewall. Puoi anche associare endpoint firewall in zone diverse a una rete VPC.
Prima di iniziare
Devi enable l'API Compute Engine nel tuo progetto Google Cloud.
Devi enable l'API Network Security nel tuo progetto Google Cloud.
Devi enable l'API Certificate Authority Service nel tuo progetto Google Cloud.
Installa gcloud CLI se vuoi eseguire gli esempi a riga di comando
gcloudin questa guida.È necessario un endpoint firewall.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare le associazioni di endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari nell'organizzazione e nel progetto. Per maggiori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.
Quote
Per visualizzare le quote per le associazioni di endpoint firewall, consulta Quote e limiti.
Crea associazioni di endpoint firewall
La console Google Cloud consente di creare associazioni di endpoint firewall per uno qualsiasi dei seguenti elementi:
Tutte queste opzioni creano la stessa associazione. L'unica differenza tra le associazioni create nella console Google Cloud è il punto in cui viene avviato il processo di creazione. Per le associazioni create utilizzando gcloud CLI, il processo è uguale per tutte le associazioni di endpoint firewall.
Crea associazioni di endpoint firewall per una rete VPC
Puoi associare uno o più endpoint firewall a una rete VPC specifica. Ciascuno degli endpoint firewall associati appartiene a una zona diversa all'interno della rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall.
Fai clic su Crea associazione endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione di endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione di endpoint firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi associare a questa rete VPC.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa rete VPC.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il nome del progetto Google Cloud della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME: il nome della regione del criterio di ispezione TLS.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Crea associazioni di endpoint firewall per un endpoint firewall
Puoi associare una o più reti VPC a un endpoint firewall specifico nella stessa zona.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.
Fai clic su Crea associazione endpoint.
Fai clic su Aggiungi associazione endpoint.
Nell'elenco Progetto, seleziona il progetto Google Cloud in cui vuoi creare l'associazione degli endpoint firewall.
Se l'API Compute Engine e l'API Network Security non sono abilitate per il progetto Google Cloud, fai clic su Abilita.
Nell'elenco Rete, seleziona la rete che vuoi associare all'endpoint firewall.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il nome del progetto Google Cloud della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME: il nome della regione del criterio di ispezione TLS.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Crea associazioni di endpoint firewall in un progetto
Puoi aggiungere più associazioni di endpoint firewall a un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.
Fai clic su Crea associazione endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione di endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione dell'endpoint del firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi aggiungere all'associazione.
Nell'elenco Rete, seleziona la rete da aggiungere all'associazione.
Nel criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il nome del progetto Google Cloud della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME: il nome della regione del criterio di ispezione TLS.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Visualizza un'associazione di endpoint firewall
Puoi visualizzare i dettagli di una specifica associazione di endpoint firewall in una zona.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID del progetto Google Cloud dell'associazione dell'endpoint del firewall.
Elenca le associazioni di endpoint firewall
Puoi elencare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall.
Elenca tutte le associazioni di endpoint firewall per una rete VPC
Puoi elencare tutte le associazioni di endpoint firewall per una rete VPC specifica.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
gcloud
Per elencare le associazioni di endpoint firewall per una rete specifica, utilizza il
comando gcloud network-security firewall-endpoint-associations list
con il flag --filter:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC.PROJECT_ID: l'ID del progetto Google Cloud dell'associazione dell'endpoint del firewall.
Elenca tutte le associazioni di endpoint firewall per un endpoint firewall
Puoi elencare tutte le associazioni di un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
gcloud
Per elencare le associazioni di endpoint firewall per un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations list
con il flag --zone:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
ZONE: la zona dell'endpoint firewall. Per elencare le associazioni di endpoint firewall in tutte le zone, utilizza-.PROJECT_ID: l'ID del progetto Google Cloud dell'associazione dell'endpoint del firewall.
Elenco di tutte le associazioni di endpoint firewall in un progetto
Puoi elencare tutte le associazioni di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
gcloud
Per elencare le associazioni di endpoint firewall in un progetto, utilizza il comando gcloud network-security firewall-endpoint-associations list:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud dell'associazione dell'endpoint del firewall.
Modifica associazioni di endpoint firewall
La console Google Cloud consente di modificare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall. Le istruzioni dell'interfaccia a riga di comando gcloud per modificare le associazioni di endpoint firewall sono le stesse per tutte queste opzioni.
Modifica un'associazione di endpoint firewall per una rete VPC
Puoi modificare l'associazione di un endpoint firewall per una zona specifica in una rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
Fai clic su Modifica accanto all'associazione dell'endpoint firewall che vuoi aggiornare.
Per disabilitare l'associazione degli endpoint firewall, deseleziona la casella di controllo Abilita associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare l'associazione di un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME: il nome della regione del criterio di ispezione TLS.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.
Modifica l'associazione di un endpoint firewall per un endpoint firewall
Puoi modificare un'associazione per un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
Fai clic su Modifica accanto all'associazione dell'endpoint firewall che vuoi aggiornare.
Per disabilitare l'associazione degli endpoint firewall, deseleziona la casella di controllo Abilita associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare l'associazione di un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME: il nome della regione del criterio di ispezione TLS.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.
Modifica un'associazione di endpoint firewall in un progetto
Puoi modificare un'associazione di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Accanto all'associazione dell'endpoint firewall che vuoi aggiornare, fai clic su Modifica.
Per disabilitare l'associazione degli endpoint firewall, deseleziona la casella di controllo Abilita associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare l'associazione di un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il nome del progetto Google Cloud del criterio di ispezione TLS.REGION_NAME: il nome della regione del criterio di ispezione TLS.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.
Elimina un'associazione di endpoint firewall
La console Google Cloud consente di eliminare le associazioni di endpoint firewall da una rete, un progetto o un endpoint firewall. Le istruzioni dell'interfaccia a riga di comando gcloud per eliminare le associazioni di endpoint firewall sono le stesse per tutte queste opzioni.
Elimina l'associazione di un endpoint firewall per una rete VPC
Puoi eliminare l'associazione di un endpoint firewall per una zona specifica in una rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.
Elimina l'associazione di un endpoint firewall per un endpoint firewall
Puoi eliminare un'associazione per un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.
Elimina un'associazione di endpoint firewall in un progetto
Puoi eliminare un'associazione di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione.
Passaggi successivi
- Utilizzare criteri e regole firewall gerarchici
- Utilizzare criteri e regole firewall di rete globale