创建和管理防火墙端点关联

本页面介绍如何使用 Google Cloud 控制台和 Google Cloud CLI 创建和管理防火墙端点关联。

防火墙端点与一个或多个 Virtual Private Cloud (VPC) 网络关联时,您需要在防火墙端点所在的同一可用区中创建关联。您还可以将不同可用区中的防火墙端点与 VPC 网络关联。

准备工作

角色

如需获得创建、查看、更新或删除防火墙端点关联所需的权限,请让您的管理员向您授予组织和项目的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限

配额

如需查看防火墙端点关联的配额,请参阅配额和限制

创建防火墙端点关联

借助 Google Cloud 控制台,您可以为以下任何项创建防火墙端点关联:

所有这些选项都会创建相同的关联。在 Google Cloud 控制台中创建的关联之间的唯一区别是开始创建关联的过程。对于使用 gcloud CLI 创建的关联,该过程对所有防火墙端点关联都是相同的。

为 VPC 网络创建防火墙端点关联

您可以将一个或多个防火墙端点与特定 VPC 网络关联。每个关联的防火墙端点都属于 VPC 网络中的不同可用区。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。

  4. 点击创建端点关联

  5. 区域列表中,选择要创建防火墙端点关联的区域。

  6. 可用区列表中,选择要创建防火墙端点关联的可用区。

  7. 防火墙端点列表中,选择要与此 VPC 网络关联的防火墙端点。

  8. TLS 检查政策列表中,选择要添加到此 VPC 网络的 TLS 检查政策。

  9. 点击创建

gcloud

如需创建防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations create 命令

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy  projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ORGANIZATION_ID:在其中创建防火墙端点的组织的标识符。

  • ZONE:防火墙端点的可用区。

  • FIREWALL_ENDPOINT_NAME:防火墙端点的名称。

  • PROJECT_NAME:网络的 Google Cloud 项目名称。

  • NETWORK_NAME:网络的名称。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

    此政策用于对指定网络上的加密流量进行 TLS 检查。这是一个可选参数。

为防火墙端点创建防火墙端点关联

您可以将一个或多个 VPC 网络与同一可用区中的特定防火墙端点相关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击防火墙端点以查看其详细信息。

  4. 点击创建端点关联

  5. 点击添加端点关联

  6. 项目列表中,选择您要在其中创建防火墙端点关联的 Google Cloud 项目。

    如果 Google Cloud 项目未启用 Compute Engine API 和 Network Security API,请点击启用

  7. 网络列表中,选择要与防火墙端点关联的网络。

  8. TLS 检查政策列表中,选择要添加到此关联的 TLS 检查政策。

  9. 如需添加其他关联,请点击添加端点关联

  10. 点击创建

gcloud

如需创建防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations create 命令

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。
  • ORGANIZATION_ID:在其中创建防火墙端点的组织的标识符。

  • ZONE:防火墙端点的可用区。

  • FIREWALL_ENDPOINT_NAME:防火墙端点的名称。

  • PROJECT_NAME:网络的 Google Cloud 项目名称。

  • NETWORK_NAME:网络的名称。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

    此政策用于对指定网络上的加密流量进行 TLS 检查。这是一个可选参数。

在项目中创建防火墙端点关联

您可以将多个防火墙端点关联添加到特定项目。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的 Google Cloud 项目。

  3. 点击创建端点关联

  4. 区域列表中,选择要创建防火墙端点关联的区域。

  5. 可用区列表中,选择要创建防火墙端点关联的可用区。

  6. 防火墙端点列表中,选择要添加到关联的防火墙端点。

  7. 网络列表中,选择要添加到关联的网络。

  8. TLS 检查政策中,选择要添加到此关联的 TLS 检查政策。

  9. 点击创建

gcloud

如需创建防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations create 命令

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ORGANIZATION_ID:在其中创建防火墙端点的组织的标识符。

  • ZONE:防火墙端点的可用区。

  • FIREWALL_ENDPOINT_NAME:防火墙端点的名称。

  • PROJECT_NAME:网络的 Google Cloud 项目名称。

  • NETWORK_NAME:网络的名称。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

    此政策用于对指定网络上的加密流量进行 TLS 检查。这是一个可选参数。

查看防火墙端点关联

您可以查看可用区中特定防火墙端点关联的详细信息。

gcloud

gcloud network-security firewall-endpoint-associations \
   describe NAME \
   --zone ZONE \
   --project PROJECT_ID

请替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:防火墙端点关联的 Google Cloud 项目 ID。

列出防火墙端点关联

您可以列出网络、项目或防火墙端点的防火墙端点关联。

列出 VPC 网络的所有防火墙端点关联

您可以列出特定 VPC 网络的所有防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。

gcloud

如需列出特定网络的防火墙端点关联,请将 gcloud network-security firewall-endpoint-associations list 命令--filter 标志结合使用:

gcloud network-security firewall-endpoint-associations list \
   --filter network:NETWORK_NAME \
   --project PROJECT_ID

替换以下内容:

  • NETWORK_NAME:VPC 网络的名称。
  • PROJECT_ID:防火墙端点关联的 Google Cloud 项目 ID。

列出防火墙端点的所有防火墙端点关联

您可以列出特定防火墙端点的所有关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击防火墙端点以查看其详细信息。

    防火墙端点详情页面中,表列出了所有已配置的防火墙端点关联。

gcloud

如需列出某个防火墙端点的防火墙端点关联,请将 gcloud network-security firewall-endpoint-associations list 命令--zone 标志结合使用:

gcloud network-security firewall-endpoint-associations list \
   --zone ZONE \
   --project PROJECT_ID

替换以下内容:

  • ZONE:防火墙端点的可用区。如需列出所有可用区中的防火墙端点关联,请使用 -
  • PROJECT_ID:防火墙端点关联的 Google Cloud 项目 ID。

列出项目中的所有防火墙端点关联

您可以列出特定项目中的所有防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的 Google Cloud 项目。

    防火墙端点关联部分中,表列出了此项目的所有已配置的防火墙端点关联。

gcloud

如需列出项目中的防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations list 命令

gcloud network-security firewall-endpoint-associations list \
   --project PROJECT_ID

替换以下内容:

  • PROJECT_ID:防火墙端点关联的 Google Cloud 项目 ID。

修改防火墙端点关联

借助 Google Cloud 控制台,您可以修改网络、项目或防火墙端点的防火墙端点关联。用于修改防火墙端点关联的 gcloud CLI 说明对于所有这些选项都是相同的。

修改 VPC 网络的防火墙端点关联

您可以修改 VPC 网络中特定可用区的防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。

  4. 点击要更新的防火墙端点关联旁边的修改

  5. 如需停用防火墙端点关联,请清除启用关联复选框。

  6. 如需更新 TLS 检查政策,请从 TLS 检查政策列表中选择新政策。

  7. 点击保存

gcloud

如需更新防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations update 命令

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

修改防火墙端点的防火墙端点关联

您可以修改特定防火墙端点的关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击防火墙端点以查看其详细信息。

    防火墙端点详情页面中,表列出了所有已配置的防火墙端点关联。

  4. 点击要更新的防火墙端点关联旁边的修改

  5. 如需停用防火墙端点关联,请清除启用关联复选框。

  6. 如需更新 TLS 检查政策,请从 TLS 检查政策列表中选择新政策。

  7. 点击保存

gcloud

如需更新防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations update 命令

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

在项目中修改防火墙端点关联

您可以修改特定项目中的防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的 Google Cloud 项目。

    防火墙端点关联部分中,表列出了此项目的所有已配置的防火墙端点关联。

  3. 点击要更新的防火墙端点关联旁边的修改

  4. 如需停用防火墙端点关联,请清除启用关联复选框。

  5. 如需更新 TLS 检查政策,请从 TLS 检查政策列表中选择新政策。

  6. 点击保存

gcloud

如需更新防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations update 命令

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

  • TLS_PROJECT_NAME:TLS 检查政策的 Google Cloud 项目名称。

  • REGION_NAME:TLS 检查政策的区域名称。

  • TLS_POLICY_NAME:TLS 检查政策的名称。

删除防火墙端点关联

借助 Google Cloud 控制台,您可以从网络、项目或防火墙端点中删除防火墙端点关联。

删除 Google Cloud 项目后,其关联的防火墙端点关联会自动移除。此删除操作是不可撤消的,即使项目后来恢复了也是如此。

不过,有时删除这些关联的流程可能会失败。如果发生这种情况,并且项目被恢复,则关联的防火墙端点会在恢复的项目中显示为 ORPHAN 状态。这表示项目与其资源之间的关联已因删除失败而中断。

您可以在 Google Cloud 控制台中查看这些孤立关联,但无法修改这些关联。Cloud 新一代防火墙会定期运行后台进程,以删除这些孤立资源。

删除 VPC 网络的防火墙端点关联

您可以删除 VPC 网络中特定可用区的防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。

  4. 选择防火墙端点关联,然后点击删除

  5. 再次点击删除进行确认。

gcloud

如需删除防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations delete 命令

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

删除防火墙端点的防火墙端点关联

您可以删除特定防火墙端点的关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击防火墙端点以查看其详细信息。

    防火墙端点详情页面中,表列出了所有已配置的防火墙端点关联。

  4. 选择防火墙端点关联,然后点击删除

  5. 再次点击删除进行确认。

gcloud

如需删除防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations delete 命令

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

在项目中删除防火墙端点关联

您可以删除特定项目中的防火墙端点关联。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的 Google Cloud 项目。

    防火墙端点关联部分中,表列出了此项目的所有已配置的防火墙端点关联。

  3. 选择防火墙端点关联,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除防火墙端点关联,请使用 gcloud network-security firewall-endpoint-associations delete 命令

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

替换以下内容:

  • NAME:防火墙端点关联的名称。

  • ZONE:防火墙端点关联的可用区。

  • PROJECT_ID:在其中创建关联的 Google Cloud 项目的 ID。

后续步骤