创建和管理防火墙端点关联

本页面介绍如何使用 Google Cloud 控制台和 Google Cloud CLI 创建和管理防火墙端点关联。

防火墙端点与一个或多个 Virtual Private Cloud (VPC) 网络关联时,您需要在防火墙端点的同一可用区中创建关联。您还可以将不同可用区中的防火墙端点关联到 VPC 网络。

准备工作

角色

如需获得创建、查看、更新或删除防火墙端点关联所需的权限,请让您的管理员向您授予组织和项目的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限

配额

如需查看防火墙端点关联的配额,请参阅配额和限制

创建防火墙端点关联

通过 Google Cloud 控制台,您可以为以下任意一项创建防火墙端点关联:

所有这些选项都会创建相同的关联。在 Google Cloud 控制台中创建的关联之间的唯一区别是,您需要开始创建关联。对于使用 gcloud CLI 创建的关联,该过程对于所有防火墙端点关联都是相同的。

为 VPC 网络创建防火墙端点关联

您可以将一个或多个防火墙端点与特定 VPC 网络关联。每个关联的防火墙端点都属于 VPC 网络中的不同可用区。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。

  4. 点击创建端点关联

  5. 区域列表中,选择要创建防火墙端点关联的区域。

  6. 可用区列表中,选择要创建防火墙端点关联的可用区。

  7. 防火墙端点列表中,选择要与此 VPC 网络关联的防火墙端点。

  8. TLS 检查政策列表中,选择要添加到此 VPC 网络的 TLS 检查政策。

  9. 点击创建

gcloud

如需创建防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations create 命令

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy  projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ORGANIZATION_ID:在其中创建防火墙端点的组织标识符。

  • ZONE:防火墙端点的可用区。

  • FIREWALL_ENDPOINT_NAME:防火墙端点的名称。

  • PROJECT_NAME:网络的 Google Cloud 项目名称。

  • NETWORK_NAME:网络的名称。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

    此政策用于对指定网络上的加密流量进行 TLS 检查。这是一个可选参数。

为防火墙端点创建防火墙端点关联

您可以将一个或多个 VPC 网络与同一可用区中的特定防火墙端点相关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击防火墙端点以查看其详细信息。

  4. 点击创建端点关联

  5. 点击添加端点关联

  6. 项目列表中,选择要创建防火墙端点关联的 Google Cloud 项目。

    如果没有为 Google Cloud 项目启用 Compute Engine API 和 Network Security API,请点击启用

  7. 网络列表中,选择要与防火墙端点关联的网络。

  8. TLS 检查政策列表中,选择要添加到此关联的 TLS 检查政策。

  9. 要添加其他关联,请点击添加端点关联

  10. 点击创建

gcloud

如需创建防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations create 命令

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ORGANIZATION_ID:在其中创建防火墙端点的组织标识符。

  • ZONE:防火墙端点的可用区。

  • FIREWALL_ENDPOINT_NAME:防火墙端点的名称。

  • PROJECT_NAME:网络的 Google Cloud 项目名称。

  • NETWORK_NAME:网络的名称。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

    此政策用于对指定网络上的加密流量进行 TLS 检查。这是一个可选参数。

在项目中创建防火墙端点关联

您可以将多个防火墙端点关联添加到特定项目。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的 Google Cloud 项目。

  3. 点击创建端点关联

  4. 区域列表中,选择要创建防火墙端点关联的区域。

  5. 可用区列表中,选择要创建防火墙端点关联的可用区。

  6. 防火墙端点列表中,选择要添加到关联的防火墙端点。

  7. 网络列表中,选择要添加到关联的网络。

  8. TLS 检查政策中,选择要添加到此关联的 TLS 检查政策。

  9. 点击创建

gcloud

如需创建防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations create 命令

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ORGANIZATION_ID:在其中创建防火墙端点的组织标识符。

  • ZONE:防火墙端点的可用区。

  • FIREWALL_ENDPOINT_NAME:防火墙端点的名称。

  • PROJECT_NAME:网络的 Google Cloud 项目名称。

  • NETWORK_NAME:网络的名称。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

    此政策用于对指定网络上的加密流量进行 TLS 检查。这是一个可选参数。

查看防火墙端点关联

您可以查看可用区中特定防火墙端点关联的详细信息。

gcloud

gcloud network-security firewall-endpoint-associations \
   describe NAME \
   --zone ZONE \
   --project PROJECT_ID

请替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:防火墙端点关联的 Google Cloud 项目 ID。

列出防火墙端点关联

您可以列出网络、项目或防火墙端点的防火墙端点关联。

列出 VPC 网络的所有防火墙端点关联

您可以列出特定 VPC 网络的所有防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。

gcloud

如需列出特定网络的防火墙端点关联,请使用带有 --filter 标志的 gcloud network-security firewall-endpoint-associations list 命令

gcloud network-security firewall-endpoint-associations list \
   --filter network:NETWORK_NAME \
   --project PROJECT_ID

替换以下内容:

  • NETWORK_NAME:VPC 网络的名称。
  • PROJECT_ID:防火墙端点关联的 Google Cloud 项目 ID。

列出防火墙端点的所有防火墙端点关联

您可以列出特定防火墙端点的所有关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击防火墙端点以查看其详细信息。

    防火墙端点详情页面中,该表列出了所有已配置的防火墙端点关联。

gcloud

如需列出防火墙端点的防火墙端点关联,请使用带有 --zone 标志的 gcloud network-security firewall-endpoint-associations list 命令

gcloud network-security firewall-endpoint-associations list \
   --zone ZONE \
   --project PROJECT_ID

替换以下内容:

  • ZONE:防火墙端点的可用区。如需列出所有可用区中的防火墙端点关联,请使用 -
  • PROJECT_ID:防火墙端点关联的 Google Cloud 项目 ID。

列出项目中的所有防火墙端点关联

您可以列出特定项目中的所有防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的 Google Cloud 项目。

    防火墙端点关联部分中,该表列出了此项目的所有已配置的防火墙端点关联。

gcloud

如需列出项目中的防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations list 命令

gcloud network-security firewall-endpoint-associations list \
   --project PROJECT_ID

替换以下内容:

  • PROJECT_ID:防火墙端点关联的 Google Cloud 项目 ID。

修改防火墙端点关联

借助 Google Cloud 控制台,您可以修改网络、项目或防火墙端点的防火墙端点关联。对于所有这些选项,修改防火墙端点关联的 gcloud CLI 说明都是相同的。

修改 VPC 网络的防火墙端点关联

您可以修改 VPC 网络中特定可用区的防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。

  4. 点击您要更新的防火墙端点关联旁边的修改

  5. 如需停用防火墙端点关联,请清除启用关联复选框。

  6. 如需更新 TLS 检查政策,请从 TLS 检查政策列表中选择新政策。

  7. 点击保存

gcloud

如需更新防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations update 命令

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

修改防火墙端点的防火墙端点关联

您可以修改特定防火墙端点的关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击防火墙端点以查看其详细信息。

    防火墙端点详情页面中,该表列出了所有已配置的防火墙端点关联。

  4. 点击您要更新的防火墙端点关联旁边的修改

  5. 如需停用防火墙端点关联,请清除启用关联复选框。

  6. 如需更新 TLS 检查政策,请从 TLS 检查政策列表中选择新政策。

  7. 点击保存

gcloud

如需更新防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations update 命令

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

在项目中修改防火墙端点关联

您可以修改特定项目中的防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的 Google Cloud 项目。

    防火墙端点关联部分中,该表列出了此项目的所有已配置的防火墙端点关联。

  3. 在要更新的防火墙端点关联旁边,点击修改

  4. 如需停用防火墙端点关联,请清除启用关联复选框。

  5. 如需更新 TLS 检查政策,请从 TLS 检查政策列表中选择新政策。

  6. 点击保存

gcloud

如需更新防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations update 命令

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

删除防火墙端点关联

通过 Google Cloud 控制台,您可以从网络、项目或防火墙端点中删除防火墙端点关联。对于所有这些选项,删除防火墙端点关联的 gcloud CLI 说明都是相同的。

删除 VPC 网络的防火墙端点关联

您可以删除 VPC 网络中特定可用区的防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。

  4. 选择防火墙端点关联,然后点击删除

  5. 再次点击删除进行确认。

gcloud

如需删除防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations delete 命令

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

删除防火墙端点的防火墙端点关联

您可以删除特定防火墙端点的关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击防火墙端点以查看其详细信息。

    防火墙端点详情页面中,该表列出了所有已配置的防火墙端点关联。

  4. 选择防火墙端点关联,然后点击删除

  5. 再次点击删除进行确认。

gcloud

如需删除防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations delete 命令

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

在项目中删除防火墙端点关联

您可以删除特定项目中的防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的 Google Cloud 项目。

    防火墙端点关联部分中,该表列出了此项目的所有已配置的防火墙端点关联。

  3. 选择防火墙端点关联,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations delete 命令

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:创建关联的 Google Cloud 项目的 ID。

后续步骤