Cette page explique comment créer et gérer des associations de points de terminaison de pare-feu à l'aide de la console Google Cloud et de Google Cloud CLI.
Lorsque vous associez un point de terminaison de pare-feu à un ou plusieurs réseaux cloud privé virtuel (VPC), vous créez l'association dans la zone du point de terminaison de pare-feu. Vous pouvez également associer des points de terminaison de pare-feu situés dans différentes zones à un réseau VPC.
Avant de commencer
Vous avez besoin d'un réseau VPC et d'un sous-réseau.
Vous devez activer l'API Compute Engine dans votre projet Google Cloud.
Vous devez activer l'API Network Security dans votre projet Google Cloud.
Vous devez activer l'API Certificate Authority Service dans votre projet Google Cloud.
Installez gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande
gcloud
de ce guide.Vous avez besoin d'un point de terminaison de pare-feu.
Rôles
Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des associations de points de terminaison de pare-feu, demandez à votre administrateur de vous accorder les rôles IAM requis sur votre organisation et votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Quotas
Pour afficher les quotas des associations de points de terminaison de pare-feu, consultez la page Quotas et limites.
Créer des associations de points de terminaison de pare-feu
La console Google Cloud vous permet de créer des associations de points de terminaison de pare-feu pour l'un des éléments suivants :
Toutes ces options créent la même association. La seule différence entre les associations créées dans la console Google Cloud est l'endroit où vous commencez le processus de création. Pour les associations créées à l'aide de la gcloud CLI, le processus est le même pour toutes les associations de points de terminaison de pare-feu.
Créer des associations de points de terminaison de pare-feu pour un réseau VPC
Vous pouvez associer un ou plusieurs points de terminaison de pare-feu à un réseau VPC spécifique. Chacun des points de terminaison de pare-feu associés appartient à une zone différente du réseau VPC.
Console
Dans la console Google Cloud, accédez à la page Réseaux VPC.
Cliquez sur le nom d'un réseau VPC pour afficher la page des détails du réseau VPC.
Sélectionnez l'onglet Points de terminaison de pare-feu.
Cliquez sur Créer une association de point de terminaison.
Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer l'association de point de terminaison de pare-feu.
Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer l'association de point de terminaison de pare-feu.
Dans la liste Point de terminaison de pare-feu, sélectionnez le point de terminaison de pare-feu que vous souhaitez associer à ce réseau VPC.
Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à ce réseau VPC.
Cliquez sur Créer.
gcloud
Pour créer une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ORGANIZATION_ID
: identifiant de l'organisation dans laquelle le point de terminaison de pare-feu est créé.ZONE
: zone du point de terminaison de pare-feu.FIREWALL_ENDPOINT_NAME
: nom du point de terminaison de pare-feu.PROJECT_NAME
: nom de projet Google Cloud du réseau.NETWORK_NAME
: nom du réseau.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.TLS_PROJECT_NAME
: nom de projet Google Cloud de la règle d'inspection TLS.REGION_NAME
: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME
: nom de la règle d'inspection TLS.Cette règle est utilisée pour l'inspection TLS du trafic chiffré sur le réseau spécifié. Cet argument est facultatif.
Créer des associations de points de terminaison de pare-feu pour un point de terminaison de pare-feu
Vous pouvez associer un ou plusieurs réseaux VPC à un point de terminaison de pare-feu spécifique dans la même zone.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Cliquez sur le point de terminaison de pare-feu pour en afficher les détails.
Cliquez sur Créer une association de point de terminaison.
Cliquez sur Ajouter une association de point de terminaison.
Dans la liste Projet, sélectionnez le projet Google Cloud dans lequel vous souhaitez créer l'association de points de terminaison de pare-feu.
Si l'API Compute Engine et l'API Network Security ne sont pas activées pour le projet Google Cloud, cliquez sur Activer.
Dans la liste Réseau, sélectionnez le réseau que vous souhaitez associer au point de terminaison de pare-feu.
Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
Pour ajouter une autre association, cliquez sur Ajouter une association de points de terminaison.
Cliquez sur Créer.
gcloud
Pour créer une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ORGANIZATION_ID
: identifiant de l'organisation dans laquelle le point de terminaison de pare-feu est créé.ZONE
: zone du point de terminaison de pare-feu.FIREWALL_ENDPOINT_NAME
: nom du point de terminaison de pare-feu.PROJECT_NAME
: nom de projet Google Cloud du réseau.NETWORK_NAME
: nom du réseau.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.TLS_PROJECT_NAME
: nom de projet Google Cloud de la règle d'inspection TLS.REGION_NAME
: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME
: nom de la règle d'inspection TLS.Cette règle est utilisée pour l'inspection TLS du trafic chiffré sur le réseau spécifié. Cet argument est facultatif.
Créer des associations de points de terminaison de pare-feu dans un projet
Vous pouvez ajouter plusieurs associations de points de terminaison de pare-feu à un projet spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre projet Google Cloud.
Cliquez sur Créer une association de point de terminaison.
Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer l'association de point de terminaison de pare-feu.
Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer l'association de points de terminaison de pare-feu.
Dans la liste Point de terminaison de pare-feu, sélectionnez le point de terminaison de pare-feu que vous souhaitez ajouter à l'association.
Dans la liste Réseau, sélectionnez le réseau que vous souhaitez ajouter à l'association.
Dans Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
Cliquez sur Créer.
gcloud
Pour créer une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ORGANIZATION_ID
: identifiant de l'organisation dans laquelle le point de terminaison de pare-feu est créé.ZONE
: zone du point de terminaison de pare-feu.FIREWALL_ENDPOINT_NAME
: nom du point de terminaison de pare-feu.PROJECT_NAME
: nom de projet Google Cloud du réseau.NETWORK_NAME
: nom du réseau.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.TLS_PROJECT_NAME
: nom de projet Google Cloud de la règle d'inspection TLS.REGION_NAME
: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME
: nom de la règle d'inspection TLS.Cette règle est utilisée pour l'inspection TLS du trafic chiffré sur le réseau spécifié. Cet argument est facultatif.
Afficher une association de point de terminaison de pare-feu
Vous pouvez afficher les détails d'une association de point de terminaison de pare-feu spécifique dans une zone.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ZONE
: zone de l'association de point de terminaison de pare-feu.PROJECT_ID
: ID de projet Google Cloud de l'association de points de terminaison de pare-feu.
Lister les associations de point de terminaison de pare-feu
Vous pouvez répertorier les associations de points de terminaison de pare-feu pour un réseau, un projet ou un point de terminaison de pare-feu.
Répertorier toutes les associations de points de terminaison de pare-feu pour un réseau VPC
Vous pouvez répertorier toutes les associations de points de terminaison de pare-feu pour un réseau VPC spécifique.
Console
Dans la console Google Cloud, accédez à la page Réseaux VPC.
Cliquez sur le nom d'un réseau VPC pour afficher la page des détails du réseau VPC.
Sélectionnez l'onglet Points de terminaison de pare-feu. Cet onglet affiche la liste des associations de point de terminaison de pare-feu configurées.
gcloud
Pour répertorier les associations de points de terminaison de pare-feu pour un réseau spécifique, exécutez la commande gcloud network-security firewall-endpoint-associations list
avec l'option --filter
:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Remplacez les éléments suivants :
NETWORK_NAME
: nom du réseau VPC.PROJECT_ID
: ID de projet Google Cloud de l'association de points de terminaison de pare-feu.
Répertorier toutes les associations de points de terminaison de pare-feu pour un point de terminaison de pare-feu
Vous pouvez répertorier toutes les associations d'un point de terminaison de pare-feu spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Cliquez sur le point de terminaison de pare-feu pour en afficher les détails.
Sur la page Détails du point de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées.
gcloud
Pour répertorier les associations de points de terminaison de pare-feu pour un point de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations list
avec l'option --zone
:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Remplacez les éléments suivants :
ZONE
: zone du point de terminaison de pare-feu. Pour répertorier les associations de points de terminaison de pare-feu dans toutes les zones, utilisez-
.PROJECT_ID
: ID de projet Google Cloud de l'association de points de terminaison de pare-feu.
Répertorier toutes les associations de points de terminaison de pare-feu dans un projet
Vous pouvez répertorier toutes les associations de points de terminaison de pare-feu dans un projet spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre projet Google Cloud.
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées pour ce projet.
gcloud
Pour répertorier les associations de points de terminaison de pare-feu dans un projet, exécutez la commande gcloud network-security firewall-endpoint-associations list
:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Remplacez les éléments suivants :
PROJECT_ID
: ID de projet Google Cloud de l'association de points de terminaison de pare-feu.
Modifier les associations de points de terminaison de pare-feu
La console Google Cloud vous permet de modifier les associations de points de terminaison de pare-feu pour un réseau, un projet ou un point de terminaison de pare-feu. Les instructions de la gcloud CLI permettant de modifier les associations de points de terminaison de pare-feu sont identiques pour toutes ces options.
Modifier une association de points de terminaison de pare-feu pour un réseau VPC
Vous pouvez modifier une association de points de terminaison de pare-feu pour une zone spécifique d'un réseau VPC.
Console
Dans la console Google Cloud, accédez à la page Réseaux VPC.
Cliquez sur le nom d'un réseau VPC pour afficher la page des détails du réseau VPC.
Sélectionnez l'onglet Points de terminaison de pare-feu. Cet onglet affiche la liste des associations de point de terminaison de pare-feu configurées.
Cliquez sur Modifier à côté de l'association de points de terminaison de pare-feu que vous souhaitez mettre à jour.
Pour désactiver l'association de points de terminaison de pare-feu, décochez la case Activer l'association.
Pour mettre à jour la règle d'inspection TLS, sélectionnez une nouvelle règle dans la liste Règle d'inspection TLS.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ZONE
: zone de l'association de point de terminaison de pare-feu.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.TLS_PROJECT_NAME
: nom de projet Google Cloud de la règle d'inspection TLS.REGION_NAME
: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME
: nom de la règle d'inspection TLS.
Modifier une association de points de terminaison de pare-feu pour un point de terminaison de pare-feu
Vous pouvez modifier une association pour un point de terminaison de pare-feu spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Cliquez sur le point de terminaison de pare-feu pour en afficher les détails.
Sur la page Détails du point de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées.
Cliquez sur Modifier à côté de l'association de points de terminaison de pare-feu que vous souhaitez mettre à jour.
Pour désactiver l'association de points de terminaison de pare-feu, décochez la case Activer l'association.
Pour mettre à jour la règle d'inspection TLS, sélectionnez une nouvelle règle dans la liste Règle d'inspection TLS.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ZONE
: zone de l'association de point de terminaison de pare-feu.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.TLS_PROJECT_NAME
: nom de projet Google Cloud de la règle d'inspection TLS.REGION_NAME
: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME
: nom de la règle d'inspection TLS.
Modifier une association de points de terminaison de pare-feu dans un projet
Vous pouvez modifier une association de points de terminaison de pare-feu dans un projet spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre projet Google Cloud.
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées pour ce projet.
À côté de l'association de points de terminaison de pare-feu que vous souhaitez mettre à jour, cliquez sur Modifier.
Pour désactiver l'association de points de terminaison de pare-feu, décochez la case Activer l'association.
Pour mettre à jour la règle d'inspection TLS, sélectionnez une nouvelle règle dans la liste Règle d'inspection TLS.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ZONE
: zone de l'association de point de terminaison de pare-feu.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.TLS_PROJECT_NAME
: nom de projet Google Cloud de la règle d'inspection TLS.REGION_NAME
: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME
: nom de la règle d'inspection TLS.
Supprimer une association de point de terminaison de pare-feu
La console Google Cloud vous permet de supprimer les associations de points de terminaison de pare-feu d'un réseau, d'un projet ou d'un point de terminaison de pare-feu.
Lorsqu'un projet Google Cloud est supprimé, les associations de points de terminaison de pare-feu qui lui sont associées sont automatiquement supprimées. Cette suppression est irréversible, même si le projet est restauré ultérieurement.
Toutefois, le processus de suppression de ces associations peut parfois échouer.
Si cela se produit et que le projet est restauré, les points de terminaison du pare-feu associés apparaissent à l'état ORPHAN
dans le projet restauré. Cela indique que le lien entre le projet et ses ressources est rompu en raison de l'échec de la suppression.
Vous pouvez afficher ces associations orphelines dans la console Google Cloud, mais vous ne pouvez pas les modifier. Cloud Next Generation Firewall exécute régulièrement un processus en arrière-plan qui supprime ces ressources orphelines.
Supprimer une association de points de terminaison de pare-feu pour un réseau VPC
Vous pouvez supprimer une association de points de terminaison de pare-feu pour une zone spécifique d'un réseau VPC.
Console
Dans la console Google Cloud, accédez à la page Réseaux VPC.
Cliquez sur le nom d'un réseau VPC pour afficher la page des détails du réseau VPC.
Sélectionnez l'onglet Points de terminaison de pare-feu. Cet onglet affiche la liste des associations de point de terminaison de pare-feu configurées.
Sélectionnez l'association de points de terminaison de pare-feu, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ZONE
: zone de l'association de point de terminaison de pare-feu.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.
Supprimer une association de points de terminaison de pare-feu pour un point de terminaison de pare-feu
Vous pouvez supprimer une association pour un point de terminaison de pare-feu spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Cliquez sur le point de terminaison de pare-feu pour en afficher les détails.
Sur la page Détails du point de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées.
Sélectionnez l'association de points de terminaison de pare-feu, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ZONE
: zone de l'association de point de terminaison de pare-feu.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.
Supprimer une association de points de terminaison de pare-feu dans un projet
Vous pouvez supprimer une association de points de terminaison de pare-feu dans un projet spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre projet Google Cloud.
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées pour ce projet.
Sélectionnez l'association de points de terminaison de pare-feu, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Remplacez les éléments suivants :
NAME
: nom de l'association de point de terminaison de pare-feu.ZONE
: zone de l'association de point de terminaison de pare-feu.PROJECT_ID
: ID du projet Google Cloud dans lequel l'association est créée.
Étapes suivantes
- Utiliser des stratégies et des règles de pare-feu hiérarchiques
- Utiliser des stratégies et des règles de pare-feu de réseau globales