Crea y administra asociaciones de extremos de firewall

En esta página, se explica cómo crear y administrar asociaciones de extremos de firewall con la consola de Google Cloud y Google Cloud CLI.

Cuando asocias un extremo de firewall con una o más redes de nube privada virtual (VPC), creas la asociación en la misma zona del extremo de firewall. También puedes asociar extremos de firewall en diferentes zonas a una red de VPC.

Antes de comenzar

Funciones

Para obtener los permisos que necesitas y poder crear, ver, actualizar o borrar las asociaciones del extremo de firewall, pídele a tu administrador que te otorgue los roles IAM necesarios en tu organización y proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Cuotas

Para ver las cuotas de las asociaciones de extremos de firewall, consulta Cuotas y límites.

Crear asociaciones de extremos de firewall

La consola de Google Cloud te permite crear asociaciones de extremos de firewall para cualquiera de los siguientes elementos:

Todas estas opciones crean la misma asociación. La única diferencia entre las asociaciones creadas en la consola de Google Cloud es donde empiezas el proceso de creación. En el caso de las asociaciones creadas con la gcloud CLI, el proceso es el mismo para todas las asociaciones de extremos de firewall.

Crear asociaciones de extremos de firewall para una red de VPC

Puedes asociar uno o más extremos de firewall a una red de VPC específica. Cada extremo de firewall asociado pertenece a una zona diferente dentro de la red de VPC.

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.

  3. Elige la pestaña Extremos de firewall.

  4. Haz clic en Crear asociación de extremo.

  5. En la lista Región, selecciona la región en la que deseas crear la asociación de extremo de firewall.

  6. En la lista Zona, selecciona la zona en la que deseas crear la asociación de extremo de firewall.

  7. En la lista Extremo de firewall, selecciona el extremo de firewall que deseas asociar con esta red de VPC.

  8. En la lista Política de inspección de TLS, selecciona la política de inspección de TLS que deseas agregar a esta red de VPC.

  9. Haz clic en Crear.

gcloud

Para crear un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations create:

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy  projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ORGANIZATION_ID: Es el identificador de la organización en la que se crea el extremo de firewall.

  • ZONE: es la zona del extremo de firewall.

  • FIREWALL_ENDPOINT_NAME: es el nombre del extremo de firewall.

  • PROJECT_NAME: Es el nombre del proyecto de Google Cloud de la red.

  • NETWORK_NAME: el nombre de la red

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

  • TLS_PROJECT_NAME: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.

  • REGION_NAME: es el nombre de la región de la política de inspección de TLS.

  • TLS_POLICY_NAME: es el nombre de la política de inspección de TLS.

    Esta política se usa para la inspección de TLS del tráfico encriptado en la red especificada. Este es un argumento opcional.

Crea asociaciones de extremos de firewall para un extremo de firewall

Puedes asociar una o más redes de VPC a un extremo de firewall específico en la misma zona.

Console

  1. En la consola de Google Cloud, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en el extremo del firewall para ver sus detalles.

  4. Haz clic en Crear asociación de extremo.

  5. Haz clic en Agregar asociación de extremo.

  6. En la lista Proyecto, elige el proyecto de Google Cloud en el que deseas crear la asociación de extremo de firewall.

    Si la API de Compute Engine o la API de Network Security no están habilitadas para el proyecto de Google Cloud, haz clic en Habilitar.

  7. En la lista Red, elige la red que deseas asociar al extremo del firewall.

  8. En la lista Política de inspección de TLS, selecciona la política de inspección de TLS que deseas agregar a esta asociación.

  9. Para agregar otra asociación, haz clic en Agregar asociación de extremo.

  10. Haz clic en Crear.

gcloud

Para crear un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations create:

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.
  • ORGANIZATION_ID: Es el identificador de la organización en la que se crea el extremo de firewall.

  • ZONE: es la zona del extremo de firewall.

  • FIREWALL_ENDPOINT_NAME: es el nombre del extremo de firewall.

  • PROJECT_NAME: Es el nombre del proyecto de Google Cloud de la red.

  • NETWORK_NAME: el nombre de la red

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

  • TLS_PROJECT_NAME: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.

  • REGION_NAME: es el nombre de la región de la política de inspección de TLS.

  • TLS_POLICY_NAME: es el nombre de la política de inspección de TLS.

    Esta política se usa para la inspección de TLS del tráfico encriptado en la red especificada. Este es un argumento opcional.

Crea asociaciones de extremos de firewall en un proyecto

Puedes agregar varias asociaciones de extremos de firewall a un proyecto específico.

Console

  1. En la consola de Google Cloud, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyecto, selecciona tu proyecto de Google Cloud.

  3. Haz clic en Crear asociación de extremo.

  4. En la lista Región, selecciona la región en la que deseas crear la asociación de extremo de firewall.

  5. En la lista Zona, selecciona la zona en la que deseas crear la asociación de extremo de firewall.

  6. En la lista Extremo de firewall, elige el extremo de firewall que deseas agregar a la asociación.

  7. En la lista Red, elige la red que deseas agregar a la asociación.

  8. En la lista Política de inspección de TLS, elige la política de inspección de TLS que deseas agregar a esta asociación.

  9. Haz clic en Crear.

gcloud

Para crear un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations create:

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ORGANIZATION_ID: Es el identificador de la organización en la que se crea el extremo de firewall.

  • ZONE: es la zona del extremo de firewall.

  • FIREWALL_ENDPOINT_NAME: es el nombre del extremo de firewall.

  • PROJECT_NAME: Es el nombre del proyecto de Google Cloud de la red.

  • NETWORK_NAME: el nombre de la red

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

  • TLS_PROJECT_NAME: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.

  • REGION_NAME: es el nombre de la región de la política de inspección de TLS.

  • TLS_POLICY_NAME: es el nombre de la política de inspección de TLS.

    Esta política se usa para la inspección de TLS del tráfico encriptado en la red especificada. Este es un argumento opcional.

Visualiza una asociación de extremo de firewall

Puedes ver los detalles de una asociación de extremo de firewall específica en una zona.

gcloud

gcloud network-security firewall-endpoint-associations \
   describe NAME \
   --zone ZONE \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ZONE: es la zona de la asociación de extremo de firewall.

  • PROJECT_ID: es el ID del proyecto de Google Cloud de la asociación del extremo de firewall.

Enumera las asociaciones de extremos de firewall

Puedes enumerar las asociaciones de extremos de firewall para una red, un proyecto o un extremo de firewall.

Enumera todas las asociaciones de extremos de firewall para una red de VPC

Puedes enumerar todas las asociaciones de extremos de firewall para una red de VPC específica.

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.

  3. Elige la pestaña Extremos de firewall. En la pestaña, se muestra una lista de asociaciones de extremos de firewall configuradas.

gcloud

Para enumerar las asociaciones de extremos de firewall de una red específica, usa el Comando gcloud network-security firewall-endpoint-associations list con la marca --filter:

gcloud network-security firewall-endpoint-associations list \
   --filter network:NETWORK_NAME \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • NETWORK_NAME: Es el nombre de la red de VPC.
  • PROJECT_ID: es el ID del proyecto de Google Cloud de la asociación del extremo de firewall.

Enumera todas las asociaciones de extremos de firewall para un extremo de firewall

Puedes enumerar todas las asociaciones de un extremo de firewall específico.

Console

  1. En la consola de Google Cloud, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en el extremo del firewall para ver sus detalles.

    En la página Detalles del extremo de firewall, en la tabla, se enumeran todas las asociaciones de extremos de firewall configuradas.

gcloud

Para enumerar las asociaciones de extremos de firewall de un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations list con la marca --zone:

gcloud network-security firewall-endpoint-associations list \
   --zone ZONE \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • ZONE: es la zona del extremo de firewall. Para enumerar asociaciones de extremo de firewall en todas las zonas, usa -.
  • PROJECT_ID: es el ID del proyecto de Google Cloud de la asociación del extremo de firewall.

Enumera todas las asociaciones de extremos de firewall en un proyecto

Puedes enumerar todas las asociaciones de extremos de firewall en un proyecto específico.

Console

  1. En la consola de Google Cloud, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyecto, selecciona tu proyecto de Google Cloud.

    En la tabla de la sección Asociaciones de extremos de firewall, se enumeran todas las asociaciones de extremos de firewall configuradas para este proyecto.

gcloud

Para enumerar las asociaciones de extremos de firewall en un proyecto, usa el comando gcloud network-security firewall-endpoint-associations list:

gcloud network-security firewall-endpoint-associations list \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • PROJECT_ID: es el ID del proyecto de Google Cloud de la asociación del extremo de firewall.

Edita las asociaciones de extremos de firewall

La consola de Google Cloud te permite editar asociaciones de extremos de firewall para una red, una proyecto o un extremo de firewall. Las instrucciones de gcloud CLI que permiten editar las asociaciones de extremos de firewall son las mismas para todas estas opciones.

Edita una asociación de extremo de firewall para una red de VPC

Puedes editar una asociación de extremo de firewall para una zona específica de una red de VPC.

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.

  3. Elige la pestaña Extremos de firewall. En la pestaña, se muestra una lista de asociaciones de extremos de firewall configuradas.

  4. Haz clic en Editar junto a la asociación de extremo de firewall que deseas actualizar.

  5. Para inhabilitar la asociación del extremo de firewall, desmarca la casilla de verificación Habilitar asociación.

  6. Para actualizar la política de inspección de TLS, elige una política nueva de la lista Política de inspección de TLS.

  7. Haz clic en Guardar.

gcloud

Para actualizar una asociación de extremo de firewall, usa el Comando gcloud network-security firewall-endpoint-associations update:

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ZONE: es la zona de la asociación de extremo de firewall.

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

  • TLS_PROJECT_NAME: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.

  • REGION_NAME: es el nombre de la región de la política de inspección de TLS.

  • TLS_POLICY_NAME: es el nombre de la política de inspección de TLS.

Crea una asociación de extremo de firewall para un extremo de firewall

Puedes editar una asociación para un extremo de firewall específico.

Console

  1. En la consola de Google Cloud, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en el extremo del firewall para ver sus detalles.

    En la página Detalles del extremo de firewall, en la tabla, se enumeran todas las asociaciones de extremos de firewall configuradas.

  4. Haz clic en Editar junto a la asociación de extremo de firewall que deseas actualizar.

  5. Para inhabilitar la asociación del extremo de firewall, desmarca la casilla de verificación Habilitar asociación.

  6. Para actualizar la política de inspección de TLS, elige una política nueva de la lista Política de inspección de TLS.

  7. Haz clic en Guardar.

gcloud

Para actualizar una asociación de extremo de firewall, usa el Comando gcloud network-security firewall-endpoint-associations update:

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ZONE: es la zona de la asociación de extremo de firewall.

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

  • TLS_PROJECT_NAME: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.

  • REGION_NAME: es el nombre de la región de la política de inspección de TLS.

  • TLS_POLICY_NAME: es el nombre de la política de inspección de TLS.

Edita una asociación de extremo de firewall en un proyecto

Puedes editar una asociación de extremo de firewall en un proyecto específico.

Console

  1. En la consola de Google Cloud, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyecto, selecciona tu proyecto de Google Cloud.

    En la tabla de la sección Asociaciones de extremos de firewall, se enumeran todas las asociaciones de extremos de firewall configuradas para este proyecto.

  3. Junto a la asociación de extremo de firewall que deseas actualizar, haz clic en Editar.

  4. Para inhabilitar la asociación del extremo de firewall, desmarca la casilla de verificación Habilitar asociación.

  5. Para actualizar la política de inspección de TLS, elige una política nueva de la lista Política de inspección de TLS.

  6. Haz clic en Guardar.

gcloud

Para actualizar una asociación de extremo de firewall, usa el Comando gcloud network-security firewall-endpoint-associations update:

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ZONE: es la zona de la asociación de extremo de firewall.

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

  • TLS_PROJECT_NAME: es el nombre del proyecto de Google Cloud de la política de inspección de TLS.

  • REGION_NAME: es el nombre de la región de la política de inspección de TLS.

  • TLS_POLICY_NAME: es el nombre de la política de inspección de TLS.

Borra una asociación de extremo de firewall

La consola de Google Cloud te permite borrar las asociaciones de extremos de firewall de una red, un proyecto o un extremo de firewall.

Cuando se borra un proyecto de Google Cloud, se quitan automáticamente las asociaciones de extremos de firewall asociadas. Esta acción es irreversible,c incluso si el proyecto se restablece más adelante.

Sin embargo, el proceso de eliminación de estas asociaciones puede fallar en ocasiones. Si esto sucede y se restablece el proyecto, los extremos del firewall asociado aparecerán en el estado ORPHAN dentro del proyecto restablecido. Esto indica que el vínculo entre el proyecto y sus recursos está roto debido a que la eliminación no se realizó correctamente.

Puedes ver estas asociaciones huérfanas en la consola de Google Cloud, pero no puedes editarlas. Cloud Next Generation Firewall ejecuta un proceso en segundo plano de forma periódica que borra estos recursos huérfanos.

Borrar una asociación de extremo de firewall para una red de VPC

Puedes borrar una asociación de extremo de firewall para una zona específica de una red de VPC.

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en el nombre de una red de VPC para ver la página Detalles de la red de VPC.

  3. Elige la pestaña Extremos de firewall. En la pestaña, se muestra una lista de asociaciones de extremos de firewall configuradas.

  4. Selecciona la asociación del extremo del firewall y, luego, haz clic en Borrar.

  5. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations delete:

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ZONE: es la zona de la asociación de extremo de firewall.

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

Borra una asociación de extremo de firewall para un extremo de firewall

Puedes borrar una asociación para un extremo de firewall específico.

Console

  1. En la consola de Google Cloud, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en el extremo del firewall para ver sus detalles.

    En la página Detalles del extremo de firewall, en la tabla, se enumeran todas las asociaciones de extremos de firewall configuradas.

  4. Selecciona la asociación del extremo del firewall y, luego, haz clic en Borrar.

  5. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations delete:

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ZONE: es la zona de la asociación de extremo de firewall.

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

Quita una asociación de extremo de firewall en un proyecto

Puedes borrar una asociación de extremo de firewall en un proyecto específico.

Console

  1. En la consola de Google Cloud, ve a la página Extremos de firewall.

    Ir a Extremos de firewall

  2. En el menú de selección de proyecto, selecciona tu proyecto de Google Cloud.

    En la tabla de la sección Asociaciones de extremos de firewall, se enumeran todas las asociaciones de extremos de firewall configuradas para este proyecto.

  3. Selecciona la asociación del extremo del firewall y, luego, haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar un extremo de firewall, usa el comando gcloud network-security firewall-endpoint-associations delete:

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

Reemplaza lo siguiente:

  • NAME: es el nombre de la asociación de extremo de firewall.

  • ZONE: es la zona de la asociación de extremo de firewall.

  • PROJECT_ID: es el ID del proyecto de Google Cloud en el que se crea la asociación.

¿Qué sigue?