Questa pagina spiega come creare e gestire l'endpoint firewall le associazioni utilizzando la console Google Cloud e Google Cloud CLI.
Quando associ un endpoint firewall con una o più reti Virtual Private Cloud (VPC), puoi creare nella stessa zona dell'endpoint firewall. Puoi anche associare endpoint firewall in zone diverse a una rete VPC.
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo progetto Google Cloud.
Devi abilitare l'API Network Security nel tuo progetto Google Cloud.
Devi abilitare l'API Certificate Authority Service nel tuo progetto Google Cloud.
Installa gcloud CLI se vuoi eseguire
gcloudesempi delle righe di comando in questa guida.È necessario un endpoint firewall.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare associazioni di endpoint firewall, chiedi all'amministratore di concederti le autorizzazioni necessarie Ruoli IAM dell'organizzazione e del progetto. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci accesso.
Quote
Per visualizzare le quote per le associazioni di endpoint firewall, consulta Quote e limiti.
Crea associazioni di endpoint firewall
La console Google Cloud consente di creare associazioni di endpoint firewall per qualsiasi le seguenti:
Tutte queste opzioni creano la stessa associazione. L'unico la differenza tra le associazioni create nella console Google Cloud è il punto in cui inizi durante il processo di creazione. Per le associazioni create utilizzando gcloud CLI, il processo è uguale per tutti gli endpoint firewall associazioni.
Crea associazioni di endpoint firewall per una rete VPC
Puoi associare uno o più endpoint firewall a un VPC specifico in ogni rete. Ciascuno degli endpoint firewall associati appartiene a una zona diversa all'interno della rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzarne la Pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall.
Fai clic su Crea associazione endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione degli endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione degli endpoint firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall di cui da associare a questa rete VPC.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS da aggiungere a questa rete VPC.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il nome del progetto Google Cloud della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.TLS_PROJECT_NAME: il nome del progetto Google Cloud della crittografia TLS delle norme di ispezione.REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato su della rete specificata. Questo è un argomento facoltativo.
Crea associazioni di endpoint firewall per un endpoint firewall
Puoi associare una o più reti VPC a un firewall specifico endpoint nella stessa zona.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.
Fai clic su Crea associazione endpoint.
Fai clic su Aggiungi associazione endpoint.
Nell'elenco Progetto, seleziona il progetto Google Cloud in cui vuoi per creare l'associazione degli endpoint firewall.
Se l'API Compute Engine e l'API Network Security non sono abilitate per il parametro Progetto Google Cloud, fai clic su Abilita.
Nell'elenco Rete, seleziona la rete da associare all'endpoint firewall.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il nome del progetto Google Cloud della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.TLS_PROJECT_NAME: il nome del progetto Google Cloud della crittografia TLS delle norme di ispezione.REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato su della rete specificata. Questo è un argomento facoltativo.
Crea associazioni di endpoint firewall in un progetto
Puoi aggiungere più associazioni di endpoint firewall a un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.
Fai clic su Crea associazione endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione degli endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione degli endpoint firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall di cui che vuoi aggiungere all'associazione.
Nell'elenco Rete, seleziona la rete da aggiungere alla dell'associazione.
Nel criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il nome del progetto Google Cloud della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.TLS_PROJECT_NAME: il nome del progetto Google Cloud della crittografia TLS delle norme di ispezione.REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.Questo criterio viene utilizzato per l'ispezione TLS del traffico criptato su della rete specificata. Questo è un argomento facoltativo.
Visualizza un'associazione di endpoint firewall
Puoi visualizzare i dettagli di una specifica associazione di endpoint firewall in una zona.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID del progetto Google Cloud del firewall dell'endpoint associato.
Elenca le associazioni di endpoint firewall
Puoi elencare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall.
Elenca tutte le associazioni di endpoint firewall per una rete VPC
Puoi elencare tutte le associazioni di endpoint firewall per una specifica rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzarne la Pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco le associazioni di endpoint firewall configurate.
gcloud
Per elencare le associazioni di endpoint firewall per una rete specifica, utilizza il metodo
Comando gcloud network-security firewall-endpoint-associations list
con il flag --filter:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC.PROJECT_ID: l'ID del progetto Google Cloud del firewall dell'endpoint associato.
Elenca tutte le associazioni di endpoint firewall per un endpoint firewall
Puoi elencare tutte le associazioni di un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate.
gcloud
Per elencare le associazioni di endpoint firewall per un endpoint firewall, utilizza il metodo
Comando gcloud network-security firewall-endpoint-associations list
con il flag --zone:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
ZONE: la zona dell'endpoint firewall. Elenco le associazioni di endpoint firewall in tutte le zone, utilizzano-.PROJECT_ID: l'ID del progetto Google Cloud del firewall dell'endpoint associato.
Elenco di tutte le associazioni di endpoint firewall in un progetto
Puoi elencare tutte le associazioni di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate per questo progetto.
gcloud
Per elencare le associazioni di endpoint firewall in un progetto, utilizza
Comando gcloud network-security firewall-endpoint-associations list:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud del firewall dell'endpoint associato.
Modifica associazioni di endpoint firewall
La console Google Cloud consente di modificare le associazioni di endpoint firewall per una rete, un un progetto o un endpoint firewall. Le istruzioni di gcloud CLI le associazioni di endpoint firewall sono le stesse per tutte queste opzioni.
Modifica un'associazione di endpoint firewall per una rete VPC
Puoi modificare l'associazione di un endpoint firewall per una zona specifica in una rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzarne la Pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco le associazioni di endpoint firewall configurate.
Fai clic su Modifica accanto all'associazione degli endpoint firewall che vuoi aggiornamento.
Per disabilitare l'associazione degli endpoint firewall, cancella i campi Casella di controllo Attiva associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza la
Comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.TLS_PROJECT_NAME: il nome del progetto Google Cloud della crittografia TLS delle norme di ispezione.REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.
Modifica l'associazione di un endpoint firewall per un endpoint firewall
Puoi modificare un'associazione per un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate.
Fai clic su Modifica accanto all'associazione degli endpoint firewall che vuoi aggiornamento.
Per disabilitare l'associazione degli endpoint firewall, cancella i campi Casella di controllo Attiva associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza la
Comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.TLS_PROJECT_NAME: il nome del progetto Google Cloud della crittografia TLS delle norme di ispezione.REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.
Modifica un'associazione di endpoint firewall in un progetto
Puoi modificare un'associazione di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate per questo progetto.
Accanto all'associazione dell'endpoint firewall che vuoi fai clic su Modifica.
Per disabilitare l'associazione degli endpoint firewall, cancella i campi Casella di controllo Attiva associazione.
Per aggiornare il criterio di ispezione TLS, selezionane uno nuovo dall'elenco Criterio di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza la
Comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.TLS_PROJECT_NAME: il nome del progetto Google Cloud della crittografia TLS delle norme di ispezione.REGION_NAME: il nome della regione del protocollo TLS delle norme di ispezione.TLS_POLICY_NAME: il nome del criterio di ispezione TLS.
Elimina un'associazione di endpoint firewall
La console Google Cloud consente di eliminare le associazioni di endpoint firewall da un una rete, un progetto o un endpoint firewall. gcloud CLI le istruzioni per eliminare le associazioni di endpoint firewall sono le stesse per tutte queste opzioni.
Elimina l'associazione di un endpoint firewall per una rete VPC
Puoi eliminare l'associazione di un endpoint firewall per una zona specifica in rete VPC.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzarne la Pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco le associazioni di endpoint firewall configurate.
Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.
Elimina l'associazione di un endpoint firewall per un endpoint firewall
Puoi eliminare un'associazione per un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzare i relativi dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate.
Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.
Elimina un'associazione di endpoint firewall in un progetto
Puoi eliminare un'associazione di endpoint firewall in un progetto specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, scegli il tuo progetto Google Cloud.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le le associazioni di endpoint firewall configurate per questo progetto.
Seleziona l'associazione dell'endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione dell'endpoint firewall.ZONE: la zona dell'associazione dell'endpoint firewall.PROJECT_ID: l'ID progetto Google Cloud in cui è presente l'associazione viene creato.
Passaggi successivi
- Utilizzare criteri e regole firewall gerarchici
- Utilizzare criteri e regole firewall di rete globale