Nesta página, explicamos como criar e gerenciar associações de endpoints de firewall usando o console do Google Cloud e a CLI do Google Cloud.
Ao associar um endpoint de firewall a uma ou mais redes de nuvem privada virtual (VPC), você cria a associação na mesma zona do endpoint de firewall. Também é possível associar endpoints de firewall em zonas diferentes a uma rede VPC.
Antes de começar
É necessário ativar a API Compute Engine no projeto do Google Cloud.
É necessário ativar a API Network Security no projeto do Google Cloud.
É necessário ativar a API Certificate Authority Service no projeto do Google Cloud.
Instale a CLI gcloud se você quiser executar os exemplos de linhas de comando
gcloudneste guia.Você precisa de um endpoint de firewall.
Papéis
Para ter as permissões necessárias para criar, visualizar, atualizar ou excluir associações de endpoint de firewall, solicite ao administrador para conceder a você os papéis do IAM na sua organização e no seu projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Cotas
Para conferir as cotas das associações de endpoints de firewall, consulte Cotas e limites.
Criar associações de endpoint de firewall
Com o console do Google Cloud, é possível criar associações de endpoints de firewall para qualquer um dos seguintes itens:
Todas essas opções criam a mesma associação. A única diferença entre as associações criadas no console do Google Cloud é onde você inicia o processo de criação. Para associações criadas usando a gcloud CLI, o processo é o mesmo para todas as associações de endpoint de firewall.
Criar associações de endpoint de firewall em uma rede VPC
É possível associar um ou mais endpoints de firewall a uma rede VPC específica. Cada um dos endpoints de firewall associados pertence a uma zona diferente na rede VPC.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Selecione a guia Endpoints de firewall.
Clique em Criar associação de endpoint.
Na lista Região, selecione a região em que você quer criar a associação de endpoint do firewall.
Na lista Zona, selecione a zona em que você quer criar a associação de endpoint do firewall.
Na lista Endpoint de firewall, selecione o endpoint de firewall que você quer associar à rede VPC.
Na lista Política de inspeção da TLS, selecione a política que você quer adicionar a essa rede VPC.
Clique em Criar.
gcloud
Para criar uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Substitua:
.NAME: o nome da associação do endpoint de firewall.ORGANIZATION_ID: o identificador da organização em que o endpoint de firewall foi criado.ZONE: a zona do endpoint de firewall.FIREWALL_ENDPOINT_NAME: o nome do endpoint de firewall.PROJECT_NAME: o nome do projeto do Google Cloud da rede.NETWORK_NAME: o nome da rede.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.TLS_PROJECT_NAME: o nome do projeto do Google Cloud da política de inspeção da TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.Esta política é usada para a inspeção da TLS do tráfego criptografado na rede especificada. Esse é um argumento opcional.
Criar associações de endpoints de firewall em um endpoint de firewall
É possível associar uma ou mais redes VPC a um endpoint de firewall específico na mesma zona.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
Clique no endpoint do firewall para ver os detalhes.
Clique em Criar associação de endpoint.
Clique em Adicionar associação de endpoints.
Na lista Projeto, selecione o projeto do Google Cloud em que você quer criar a associação de endpoint de firewall.
Se as APIs Compute Engine e Network Security não estiverem ativadas no projeto do Google Cloud, clique em Ativar.
Na lista Rede, selecione a rede que você quer associar ao endpoint do firewall.
Na lista Política de inspeção da TLS, selecione a política que você quer adicionar a essa rede VPC.
Para adicionar outra associação, clique em Adicionar associação de endpoint.
Clique em Criar.
gcloud
Para criar uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Substitua:
NAME: o nome da associação do endpoint de firewall. .ORGANIZATION_ID: o identificador da organização em que o endpoint de firewall foi criado.ZONE: a zona do endpoint de firewall.FIREWALL_ENDPOINT_NAME: o nome do endpoint de firewall.PROJECT_NAME: o nome do projeto do Google Cloud da rede.NETWORK_NAME: o nome da rede.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.TLS_PROJECT_NAME: o nome do projeto do Google Cloud da política de inspeção da TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.Esta política é usada para a inspeção da TLS do tráfego criptografado na rede especificada. Esse é um argumento opcional.
Criar associações de endpoints de firewall em um projeto
É possível adicionar várias associações de endpoints de firewall a um projeto específico.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, escolha seu projeto do Google Cloud.
Clique em Criar associação de endpoint.
Na lista Região, selecione a região em que você quer criar a associação de endpoint do firewall.
Na lista Zona, selecione a zona em que você quer criar a associação de endpoint do firewall.
Na lista Endpoint de firewall, selecione o endpoint que você quer adicionar à associação.
Na lista Rede, selecione a rede que você quer adicionar à associação.
Em Política de inspeção da TLS, selecione a política de inspeção da TLS que você quer adicionar a essa associação.
Clique em Criar.
gcloud
Para criar uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Substitua:
NAME: o nome da associação do endpoint de firewall.ORGANIZATION_ID: o identificador da organização em que o endpoint de firewall foi criado.ZONE: a zona do endpoint de firewall.FIREWALL_ENDPOINT_NAME: o nome do endpoint de firewall.PROJECT_NAME: o nome do projeto do Google Cloud da rede.NETWORK_NAME: o nome da rede.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.TLS_PROJECT_NAME: o nome do projeto do Google Cloud da política de inspeção da TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.Esta política é usada para a inspeção da TLS do tráfego criptografado na rede especificada. Esse é um argumento opcional.
Visualizar uma associação de endpoint de firewall
É possível visualizar os detalhes de uma associação de endpoint de firewall específica em uma zona.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto do Google Cloud da associação de endpoint do firewall.
Listar associações de endpoints de firewall
É possível listar as associações de endpoints de firewall para uma rede, um projeto ou um endpoint de firewall.
Listar todas as associações de endpoint de firewall de uma rede VPC
É possível listar todas as associações de endpoint de firewall de uma rede VPC específica.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Selecione a guia Endpoints de firewall. A guia mostra uma lista de associações de endpoints de firewall configurados.
gcloud
Para listar as associações de endpoints de firewall de uma rede específica, use o comando gcloud network-security firewall-endpoint-associations list com a sinalização --filter:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Substitua:
NETWORK_NAME: o nome da rede VPC.PROJECT_ID: o ID do projeto do Google Cloud da associação de endpoint do firewall.
Listar todas as associações de endpoints de firewall de um endpoint de firewall
É possível listar todas as associações de um endpoint de firewall específico.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
Clique no endpoint do firewall para ver os detalhes.
Na página Detalhes do endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas.
gcloud
Para listar as associações de endpoints de firewall, use o
comando gcloud network-security firewall-endpoint-associations list
com a sinalização --zone:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Substitua:
ZONE: a zona do endpoint de firewall. Para listar as associações de endpoint de firewall em todas as zonas, use-.PROJECT_ID: o ID do projeto do Google Cloud da associação de endpoint do firewall.
Listar todas as associações de endpoints de firewall em um projeto
É possível listar todas as associações de endpoints de firewall em um projeto específico.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, escolha seu projeto do Google Cloud.
Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas para este projeto.
gcloud
Para listar as associações de endpoints de firewall em um projeto, use o
comando gcloud network-security firewall-endpoint-associations list:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Substitua:
PROJECT_ID: o ID do projeto do Google Cloud da associação de endpoint do firewall.
Editar associações de endpoint de firewall
O console do Google Cloud permite editar as associações de endpoints de firewall para uma rede, um projeto ou um endpoint de firewall. As instruções da gcloud CLI para editar associações de endpoint de firewall são as mesmas para todas essas opções.
Editar uma associação de endpoint de firewall em uma rede VPC
É possível editar uma associação de endpoint de firewall para uma zona específica em uma rede VPC.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Selecione a guia Endpoints de firewall. A guia mostra uma lista de associações de endpoints de firewall configurados.
Clique em Editar ao lado da associação de endpoint de firewall que você quer atualizar.
Para desativar a associação de endpoint de firewall, desmarque a caixa de seleção Ativar associação.
Para atualizar a política de inspeção da TLS, selecione uma nova política na lista Política de inspeção da TLS.
Clique em Salvar.
gcloud
Para atualizar uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.TLS_PROJECT_NAME: o nome do projeto do Google Cloud da política de inspeção da TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.
Editar uma associação de endpoint de firewall em um endpoint de firewall
É possível editar uma associação em um endpoint de firewall específico.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
Clique no endpoint do firewall para ver os detalhes.
Na página Detalhes do endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas.
Clique em Editar ao lado da associação de endpoint de firewall que você quer atualizar.
Para desativar a associação de endpoint de firewall, desmarque a caixa de seleção Ativar associação.
Para atualizar a política de inspeção da TLS, selecione uma nova política na lista Política de inspeção da TLS.
Clique em Salvar.
gcloud
Para atualizar uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.TLS_PROJECT_NAME: o nome do projeto do Google Cloud da política de inspeção da TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.
Editar uma associação de endpoint de firewall em um projeto
É possível editar uma associação de endpoint de firewall em um projeto específico.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, escolha seu projeto do Google Cloud.
Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas para este projeto.
Ao lado da associação de endpoint de firewall que você quer atualizar, clique em Editar.
Para desativar a associação de endpoint de firewall, desmarque a caixa de seleção Ativar associação.
Para atualizar a política de inspeção da TLS, selecione uma nova política na lista Política de inspeção da TLS.
Clique em Salvar.
gcloud
Para atualizar uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.TLS_PROJECT_NAME: o nome do projeto do Google Cloud da política de inspeção da TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.
Excluir uma associação de endpoint de firewall
O console do Google Cloud permite excluir as associações de endpoints de firewall de uma rede, projeto ou endpoint de firewall.
Quando um projeto do Google Cloud é excluído, as associações de endpoint de firewall associadas são removidas automaticamente. Essa exclusão é irreversível, mesmo que o projeto seja restaurado mais tarde.
No entanto, o processo de exclusão dessas associações pode falhar.
Se isso acontecer e o projeto for restaurado, os endpoints de firewall associados
vão aparecer no estado ORPHAN no projeto restaurado. Isso
indica a vinculação interrompida entre o projeto e os recursos devido à
exclusão malsucedida.
É possível visualizar essas associações órfãs no console do Google Cloud, mas não é possível editá-las. O Cloud Next Generation Firewall executa um processo em segundo plano periodicamente que exclui esses recursos órfão.
Excluir uma associação de endpoint de firewall em uma rede VPC
É possível excluir uma associação de endpoint de firewall em uma zona específica em uma rede VPC.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Selecione a guia Endpoints de firewall. A guia mostra uma lista de associações de endpoints de firewall configurados.
Selecione a associação de endpoint do firewall e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Para excluir uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.
Excluir uma associação de endpoint de firewall em um endpoint de firewall
É possível excluir uma associação em um endpoint de firewall específico.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
Clique no endpoint do firewall para ver os detalhes.
Na página Detalhes do endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas.
Selecione a associação de endpoint do firewall e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Para excluir uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.
Excluir uma associação de endpoint de firewall em um projeto
É possível excluir uma associação de endpoint de firewall em um projeto específico.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, escolha seu projeto do Google Cloud.
Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas para este projeto.
Selecione a associação de endpoint do firewall e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Para excluir uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto do Google Cloud em que a associação foi criada.
A seguir
- Usar políticas e regras hierárquicas de firewall
- Usar políticas e regras globais de firewall de rede