Firewall-Endpunkte erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt konfigurieren und verwalten und ihn über die Google Cloud Console und die Google Cloud CLI mit einem VPC-Netzwerk (Virtual Private Cloud) verknüpfen.

Sie erstellen einen Firewall-Endpunkt auf zonaler Ebene und verknüpfen ihn dann mit einem oder mehreren VPC-Netzwerken in derselben Zone. Wenn Sie die Layer-7-Prüfung in der mit Ihrem VPC-Netzwerk verknüpften Firewallrichtlinie aktiviert haben, wird der übereinstimmende Traffic transparent abgefangen und an den Firewall-Endpunkt weitergeleitet.

Vorbereitung

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Firewall-Endpunkten benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Kontingente

Informationen zu Kontingenten für Firewall-Endpunkte und ‑Verknüpfungen finden Sie unter Kontingente und Limits.

Firewall-Endpunkt erstellen

Erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone.

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen für Ihre Organisation.

Berechtigungen

  • networksecurity.firewallEndpoints.create

Rollen

  • compute.networkAdmin
Console gcloud

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie in der Liste Region die Region aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  5. Wählen Sie in der Liste Zone die Zone aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  6. Geben Sie in das Feld Name einen Namen ein.

  7. Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud-Projekt aus, das Sie für die Abrechnung des Firewall-Endpunkts verwenden möchten.

  8. Klicken Sie auf Weiter.

  9. Wenn Sie eine Firewall-Endpunktverknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen. Andernfalls überspringen Sie diesen Schritt.

    1. Wählen Sie in der Liste Projekt das Google Cloud-Projekt aus, in dem Sie die Firewall-Endpunktverknüpfung erstellen möchten.
    2. Wenn die Compute Engine API oder die Network Security API für das Google Cloud-Projekt nicht aktiv ist, klicken Sie auf Aktivieren.
    3. Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie dem Firewall-Endpunkt zuordnen möchten.
    4. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.
    5. Wenn Sie eine weitere Verknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen.

  10. Klicken Sie auf Erstellen.

Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints create-Befehl:

gcloud network-security firewall-endpoints create NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

Ersetzen Sie dabei Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

  • BILLING_PROJECT_ID: Google Cloud-Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.

Firewall-Endpunkt ansehen

Sie können die Details eines bestimmten Firewall-Endpunkts aufrufen.

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen für Ihre Organisation.

Berechtigungen

  • networksecurity.firewallEndpoints.get

Rollen

  • compute.networkAdmin
  • compute.networkUser
  • compute.networkViewer
Console gcloud

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

    Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.

  3. Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.

Wenn Sie Details zu einem Firewall-Endpunkt aufrufen möchten, verwenden Sie den gcloud network-security firewall-endpoints describe-Befehl:

gcloud network-security firewall-endpoints \
   describe NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE

Ersetzen Sie dabei Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Firewall-Endpunkte auflisten

Sie können alle Firewall-Endpunkte in einer Organisation auflisten.

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen für Ihre Organisation.

Berechtigungen

  • networksecurity.firewallEndpoints.list

Rollen

  • compute.networkAdmin
  • compute.networkUser
  • compute.networkViewer
Console gcloud

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.

Verwenden Sie den gcloud network-security firewall-endpoints list-Befehl, um alle Firewall-Endpunkte aufzulisten:

gcloud network-security firewall-endpoints list \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

Ersetzen Sie dabei Folgendes:

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist. Verwenden Sie -, um Endpunkte in allen Zonen aufzulisten.

  • BILLING_PROJECT_ID: eine optionale Google Cloud-Projekt-ID, die für den Vorgang mit einem Kontingent belastet wird.

Firewall-Endpunkt bearbeiten

Sie können das Abrechnungsprojekt eines Firewall-Endpunkts in einer Organisation aktualisieren.

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen für Ihre Organisation.

Berechtigungen

  • networksecurity.firewallEndpoints.get

Rollen

  • compute.networkAdmin
  • compute.networkUser
  • compute.networkViewer
Console gcloud

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

    Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.

  3. Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.

  4. Klicken Sie auf Bearbeiten.

  5. Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud-Projekt aus, das Sie für die Abrechnung des Firewall-Endpunkts verwenden möchten.

  6. Klicken Sie auf Speichern.

Verwenden Sie zum Bearbeiten eines Firewall-Endpunkts den gcloud network-security firewall-endpoints edit-Befehl:

gcloud network-security firewall-endpoints \
   update NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

Ersetzen Sie dabei Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

  • BILLING_PROJECT_ID: Google Cloud-Projekt-ID, die Sie diesem Firewall-Endpunkt zur Abrechnung zuordnen möchten.

Firewall-Endpunkt löschen

Sie können einen Firewall-Endpunkt löschen, indem Sie seinen Namen, seine Zone und seine Organisation angeben.

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen für Ihre Organisation.

Berechtigungen

  • networksecurity.firewallEndpoints.delete

Rollen

  • compute.networkAdmin
Console gcloud

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie den Firewall-Endpunkt aus und klicken Sie auf Löschen.

  3. Klicken Sie zum Bestätigen noch einmal auf Löschen.

Verwenden Sie zum Löschen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints delete-Befehl:

gcloud network-security firewall-endpoints delete NAME
   --organization ORGANIZATION_ID \
   --zone ZONE

Ersetzen Sie dabei Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Nächste Schritte