Nesta página, explicamos como configurar e gerenciar um endpoint de firewall e associá-lo a uma rede de nuvem privada virtual (VPC) usando o console do Google Cloud e a CLI do Google Cloud.
Você cria um endpoint de firewall no nível zonal e o associa a uma ou mais redes VPC na mesma zona. Se você ativou a inspeção da camada 7 na política de firewall associada à rede VPC, o tráfego correspondente é interceptado e encaminhado de maneira transparente para o endpoint do firewall.
Antes de começar
É necessário ativar a API Compute Engine no projeto do Google Cloud.
É necessário ativar a API Network Security no projeto do Google Cloud que você quer usar para faturamento.
É necessário ativar a API Certificate Authority Service no projeto do Google Cloud.
Instale a CLI gcloud se você quiser executar os exemplos de linhas de comando
gcloud
neste guia.
Papéis
Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de perfis de segurança, solicite ao administrador que conceda a você os papéis do IAM necessários na sua organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Cotas
Para conferir as cotas de endpoints e associações de firewall, consulte Cotas e limites.
Criar um endpoint de firewall
Crie um endpoint de firewall em uma zona específica.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
Clique em Criar.
Na lista Região, selecione a região em que você quer criar o endpoint de firewall.
Na lista Zona, selecione a zona em que você quer criar o endpoint do firewall.
Digite um nome no campo Nome.
.Na lista Projeto de faturamento, selecione o projeto do Google Cloud que você quer usar para o faturamento do endpoint do firewall.
Clique em Continuar.
Se você quiser adicionar uma associação de endpoint de firewall, clique em Adicionar associação de endpoint. Caso contrário, pule esta etapa.
- Na lista Projeto, selecione o projeto do Google Cloud em que você quer criar a associação de endpoint de firewall.
- Se a API Compute Engine ou a API Network Security não estiverem ativadas para o projeto do Google Cloud, clique em Ativar.
- Na lista Rede, selecione a rede que você quer associar ao endpoint de firewall.
- Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você quer adicionar a essa associação.
- Para adicionar outra associação, clique em Adicionar associação de endpoint.
Clique em Criar.
gcloud
Para criar um endpoint de firewall, use o
comando gcloud network-security firewall-endpoints create
:
gcloud network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Substitua:
.NAME
: o nome do endpoint de firewall.ORGANIZATION_ID
: a organização em que o endpoint está ativado.ZONE
: a zona em que o endpoint está ativado.BILLING_PROJECT_ID
: um ID de projeto do Google Cloud a ser usado para o faturamento do endpoint do firewall.
Para associar o endpoint de firewall a uma rede VPC, consulte Criar associações de endpoints de firewall.
Visualizar um endpoint de firewall
É possível visualizar os detalhes de um endpoint de firewall específico.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
A página Endpoints do firewall lista todos os endpoints de firewall configurados na organização.
Clique no nome do endpoint do firewall para ver os detalhes.
gcloud
Para visualizar detalhes de um endpoint de firewall, use o
comando gcloud network-security firewall-endpoints describe
:
gcloud network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
Substitua:
NAME
: o nome do endpoint de firewall.ORGANIZATION_ID
: a organização em que o endpoint está ativado.ZONE
: a zona em que o endpoint está ativado.
Listar endpoints de firewall
É possível listar todos os endpoints de firewall de uma organização.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
A página Endpoints do firewall lista todos os endpoints de firewall configurados na organização.
gcloud
Para listar todos os endpoints de firewall, use o
comando gcloud network-security firewall-endpoints list
:
gcloud network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Substitua:
ORGANIZATION_ID
: a organização em que o endpoint está ativado.ZONE
: a zona em que o endpoint está ativado. Para listar endpoints em todas as zonas, use-
.BILLING_PROJECT_ID
: um ID opcional do projeto do Google Cloud que vai receber a cobrança da cota pela operação.
Editar um endpoint de firewall
É possível atualizar o projeto de faturamento de um endpoint de firewall em uma organização.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
A página Endpoints do firewall lista todos os endpoints de firewall configurados na organização.
Clique no nome do endpoint do firewall para ver os detalhes.
Clique em Editar.
Na lista Projeto de faturamento, selecione o projeto do Google Cloud que você quer usar para o faturamento do endpoint do firewall.
Clique em Salvar.
gcloud
Para editar um endpoint de firewall, use o
comando gcloud network-security firewall-endpoints edit
:
gcloud network-security firewall-endpoints \ update NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Substitua:
NAME
: o nome do endpoint de firewall.ORGANIZATION_ID
: a organização em que o endpoint está ativado.ZONE
: a zona em que o endpoint está ativado.BILLING_PROJECT_ID
: o ID do projeto do Google Cloud que você quer associar a esse endpoint de firewall para faturamento.
Excluir um endpoint de firewall
É possível excluir um endpoint de firewall especificando o nome, a zona e a organização dele.
Console
No Console do Google Cloud, acesse a página Endpoints de firewall.
Selecione o endpoint do firewall e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Para excluir um endpoint de firewall, use o
comando gcloud network-security firewall-endpoints delete
:
gcloud network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE
Substitua:
NAME
: o nome do endpoint de firewall.ORGANIZATION_ID
: a organização em que o endpoint está ativado.ZONE
: a zona em que o endpoint está ativado.
A seguir
- Criar e gerenciar associações de endpoints de firewall
- Usar políticas e regras hierárquicas de firewall
- Usar políticas e regras globais de firewall de rede