Cette page explique comment configurer et gérer un point de terminaison de pare-feu et comment l'associer à un réseau cloud privé virtuel (VPC) à l'aide de la console Google Cloud et de la Google Cloud CLI.
Vous créez un point de terminaison de pare-feu au niveau d'une zone, puis vous l'associez à un ou plusieurs réseaux VPC dans la même zone. Si vous avez activé l'inspection de couche 7 dans la stratégie de pare-feu associée à votre réseau VPC, le trafic correspondant est intercepté et transféré de manière transparente vers le point de terminaison de pare-feu.
Avant de commencer
Vous avez besoin d'un réseau VPC et d'un sous-réseau.
Vous devez activer l'API Compute Engine dans votre projet Google Cloud.
Vous devez activer l'API Network Security dans le projet Google Cloud que vous souhaitez utiliser pour la facturation.
Vous devez activer l'API Certificate Authority Service dans votre projet Google Cloud.
Installez gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande
gcloudde ce guide.
Rôles
Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des points de terminaison de pare-feu, demandez à votre administrateur de vous accorder les rôles IAM nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Quotas
Pour afficher les quotas des points de terminaison et des associations de pare-feu, consultez la page Quotas et limites.
Créer un point de terminaison de pare-feu
Créez un point de terminaison de pare-feu dans une zone spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Cliquez sur Créer.
Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
Saisissez un nom dans le champ Nom.
Dans la liste Projet de facturation, sélectionnez le projet Google Cloud que vous souhaitez utiliser pour facturer le point de terminaison de pare-feu.
Cliquez sur Continuer.
Si vous souhaitez ajouter une association de points de terminaison de pare-feu, cliquez sur Ajouter une association de points de terminaison. Sinon, ignorez cette étape.
- Dans la liste Projet, sélectionnez le projet Google Cloud dans lequel vous souhaitez créer l'association de points de terminaison de pare-feu.
- Si l'API Compute Engine ou l'API Network Security n'est pas activée pour le projet Google Cloud, cliquez sur Activer.
- Dans la liste Réseau, sélectionnez le réseau que vous souhaitez associer au point de terminaison de pare-feu.
- Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
- Pour ajouter une autre association, cliquez sur Ajouter une association de points de terminaison.
Cliquez sur Créer.
gcloud
Pour créer un point de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoints create :
gcloud network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.BILLING_PROJECT_ID: ID de projet Google Cloud à utiliser pour la facturation du point de terminaison de pare-feu.
Pour associer le point de terminaison de pare-feu à un réseau VPC, consultez Créer des associations de points de terminaison de pare-feu.
Afficher un point de terminaison de pare-feu
Vous pouvez afficher les détails d'un point de terminaison de pare-feu spécifique.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
La page Points de terminaison de pare-feu recense tous les points de terminaison de pare-feu configurés dans l'organisation.
Cliquez sur le nom du point de terminaison de pare-feu pour en afficher les détails.
gcloud
Pour afficher les détails d'un point de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoints describe :
gcloud network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.
Lister les points de terminaison de pare-feu
Vous pouvez lister tous les points de terminaison de pare-feu dans une organisation.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
La page Points de terminaison de pare-feu recense tous les points de terminaison de pare-feu configurés dans l'organisation.
gcloud
Pour répertorier tous les points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoints list :
gcloud network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Remplacez les éléments suivants :
ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé. Pour répertorier les points de terminaison de toutes les zones, utilisez-.BILLING_PROJECT_ID: ID de projet Google Cloud facultatif qui sera facturé par quota pour l'opération.
Modifier un point de terminaison de pare-feu
Vous pouvez mettre à jour le projet de facturation d'un point de terminaison de pare-feu dans une organisation.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
La page Points de terminaison de pare-feu recense tous les points de terminaison de pare-feu configurés dans l'organisation.
Cliquez sur le nom du point de terminaison de pare-feu pour en afficher les détails.
Cliquez sur Modifier.
Dans la liste Projet de facturation, sélectionnez le projet Google Cloud que vous souhaitez utiliser pour facturer le point de terminaison de pare-feu.
Cliquez sur Enregistrer.
gcloud
Pour modifier un point de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoints edit :
gcloud network-security firewall-endpoints \ update NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.BILLING_PROJECT_ID: ID du projet Google Cloud que vous souhaitez associer à ce point de terminaison de pare-feu pour la facturation.
Supprimer un point de terminaison de pare-feu
Vous pouvez supprimer un point de terminaison de pare-feu en spécifiant son nom, sa zone et son organisation.
Console
Dans la console Google Cloud, accédez à la page Points de terminaison de pare-feu.
Sélectionnez le point de terminaison de pare-feu, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer un point de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoints delete :
gcloud network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.
Étapes suivantes
- Créer et gérer des associations de points de terminaison de pare-feu
- Utiliser des stratégies et des règles de pare-feu hiérarchiques
- Utiliser des stratégies et des règles de pare-feu de réseau globales