In questa pagina viene spiegato come configurare e gestire un endpoint firewall e per associarlo a una rete Virtual Private Cloud (VPC) utilizzando Console Google Cloud e Google Cloud CLI.
Puoi creare un endpoint firewall in una a livello di zona, per poi associarlo a uno o più VPC nella stessa zona. Se hai abilitato l'ispezione di livello 7 nel firewall associato alla tua rete VPC, il traffico corrispondente viene intercettato e inoltrato in modo trasparente all'endpoint firewall.
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo progetto Google Cloud.
Devi abilitare l'API Network Security nel progetto Google Cloud che vuoi utilizzare per la fatturazione.
Devi abilitare l'API Certificate Authority Service nel tuo progetto Google Cloud.
Installa gcloud CLI se vuoi eseguire
gcloudesempi delle righe di comando in questa guida.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare firewall, chiedi all'amministratore di concederti le licenze necessarie Ruoli IAM dell'organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci accesso.
Quote
Per visualizzare le quote per gli endpoint firewall e le associazioni, consulta Quote e limiti.
crea un endpoint firewall
Creare un endpoint firewall in una zona specifica.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic su Crea.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'endpoint firewall.
Inserisci un nome nel campo Nome.
Nell'elenco Progetto di fatturazione, seleziona il progetto Google Cloud a cui vuoi usare per la fatturazione dell'endpoint firewall.
Fai clic su Continua.
Se vuoi aggiungere un'associazione di endpoint firewall, fai clic su Aggiungi associazione endpoint, altrimenti salta questo passaggio.
- Nell'elenco Progetto, seleziona il progetto Google Cloud in cui vuoi per creare l'associazione degli endpoint firewall.
- Se l'API Compute Engine o l'API Network Security non sono abilitate per Nel progetto Google Cloud, fai clic su Abilita.
- Nell'elenco Rete, seleziona la rete a cui vuoi essere associato all'endpoint firewall.
- Nell'elenco Criterio di ispezione TLS, seleziona l'ispezione TLS che vuoi aggiungere a questa associazione.
- Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
gcloud
Per creare un endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoints create:
gcloud network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui l'endpoint sia attivata.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: un ID progetto Google Cloud da utilizzare per la fatturazione dell'endpoint firewall.
Per associare l'endpoint firewall a una rete VPC, consulta Crea associazioni di endpoint firewall.
Visualizza un endpoint firewall
Puoi visualizzare i dettagli di un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Nella pagina Endpoint firewall sono elencati tutti i firewall configurati e endpoint aziendali.
Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.
gcloud
Per visualizzare i dettagli di un endpoint firewall, utilizza il
Comando gcloud network-security firewall-endpoints describe:
gcloud network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui l'endpoint sia attivata.ZONE: la zona in cui è attivato l'endpoint.
Elenca endpoint firewall
Puoi elencare tutti gli endpoint firewall di un'organizzazione.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nella pagina Endpoint firewall sono elencati tutti i firewall configurati e endpoint aziendali.
gcloud
Per elencare tutti gli endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoints list:
gcloud network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui l'endpoint sia attivata.ZONE: la zona in cui è attivato l'endpoint. Elenco in tutte le zone, utilizza-.BILLING_PROJECT_ID: un ID progetto Google Cloud facoltativo a cui verrà addebitata la quota per l'operazione.
Modifica un endpoint firewall
Puoi aggiornare il progetto di fatturazione di un endpoint firewall in un'organizzazione.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Nella pagina Endpoint firewall sono elencati tutti i firewall configurati e endpoint aziendali.
Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.
Fai clic su Modifica.
Nell'elenco Progetto di fatturazione, seleziona il progetto Google Cloud a cui vuoi usare per la fatturazione dell'endpoint firewall.
Fai clic su Salva.
gcloud
Per modificare un endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoints edit:
gcloud network-security firewall-endpoints \ update NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui l'endpoint sia attivata.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: l'ID del progetto Google Cloud che da associare a questo endpoint firewall per la fatturazione.
Elimina un endpoint firewall
Puoi eliminare un endpoint firewall specificandone il nome, zona e organizzazione.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Seleziona l'endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un endpoint firewall, utilizza
Comando gcloud network-security firewall-endpoints delete:
gcloud network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui l'endpoint sia attivata.ZONE: la zona in cui è attivato l'endpoint.
Passaggi successivi
- Crea e gestisci le associazioni di endpoint firewall
- Utilizzare criteri e regole firewall gerarchici
- Utilizzare criteri e regole firewall di rete globale