Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt konfigurieren und verwalten und ihn über die Google Cloud Console und die Google Cloud CLI mit einem VPC-Netzwerk (Virtual Private Cloud) verknüpfen.
Sie erstellen einen Firewall-Endpunkt auf zonaler Ebene und verknüpfen ihn dann mit einem oder mehreren VPC-Netzwerken in derselben Zone. Wenn Sie die Layer-7-Prüfung in der mit Ihrem VPC-Netzwerk verknüpften Firewallrichtlinie aktiviert haben, wird der übereinstimmende Traffic transparent abgefangen und an den Firewall-Endpunkt weitergeleitet.
Vorbereitung
Sie benötigen ein VPC-Netzwerk und ein Subnetz.
Sie müssen in Ihrem Google Cloud-Projekt die Compute Engine API aktivieren.
Sie müssen die Network Security API in dem Google Cloud-Projekt, das Sie für die Abrechnung verwenden möchten, aktivieren.
Sie müssen in Ihrem Google Cloud-Projekt die Certificate Authority Service API aktivieren.
Installieren Sie die gcloud CLI, wenn Sie die
gcloud
-Befehlszeilenbeispiele in dieser Anleitung ausführen möchten.
Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Firewall-Endpunkten benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Kontingente
Informationen zu Kontingenten für Firewall-Endpunkte und ‑Verknüpfungen finden Sie unter Kontingente und Limits.
Firewall-Endpunkt erstellen
Erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Klicken Sie auf Erstellen.
Wählen Sie in der Liste Region die Region aus, in der Sie den Firewall-Endpunkt erstellen möchten.
Wählen Sie in der Liste Zone die Zone aus, in der Sie den Firewall-Endpunkt erstellen möchten.
Geben Sie in das Feld Name einen Namen ein.
Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud-Projekt aus, das Sie für die Abrechnung des Firewall-Endpunkts verwenden möchten.
Klicken Sie auf Weiter.
Wenn Sie eine Firewall-Endpunktverknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen. Andernfalls überspringen Sie diesen Schritt.
- Wählen Sie in der Liste Projekt das Google Cloud-Projekt aus, in dem Sie die Firewall-Endpunktverknüpfung erstellen möchten.
- Wenn die Compute Engine API oder die Network Security API für das Google Cloud-Projekt nicht aktiv ist, klicken Sie auf Aktivieren.
- Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie dem Firewall-Endpunkt zuordnen möchten.
- Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.
- Wenn Sie eine weitere Verknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen.
Klicken Sie auf Erstellen.
gcloud
Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints create
-Befehl:
gcloud network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Ersetzen Sie dabei Folgendes:
NAME
: der Name des Firewall-Endpunkts.ORGANIZATION_ID
: die Organisation, in der der Endpunkt aktiviert ist.ZONE
: die Zone, in der der Endpunkt aktiviert ist.BILLING_PROJECT_ID
: Google Cloud-Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.
Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.
Firewall-Endpunkt ansehen
Sie können die Details eines bestimmten Firewall-Endpunkts aufrufen.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.
Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.
gcloud
Wenn Sie Details zu einem Firewall-Endpunkt aufrufen möchten, verwenden Sie den gcloud network-security firewall-endpoints describe
-Befehl:
gcloud network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
Ersetzen Sie dabei Folgendes:
NAME
: der Name des Firewall-Endpunkts.ORGANIZATION_ID
: die Organisation, in der der Endpunkt aktiviert ist.ZONE
: die Zone, in der der Endpunkt aktiviert ist.
Firewall-Endpunkte auflisten
Sie können alle Firewall-Endpunkte in einer Organisation auflisten.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.
gcloud
Verwenden Sie den gcloud network-security firewall-endpoints list
-Befehl, um alle Firewall-Endpunkte aufzulisten:
gcloud network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Ersetzen Sie dabei Folgendes:
ORGANIZATION_ID
: die Organisation, in der der Endpunkt aktiviert ist.ZONE
: die Zone, in der der Endpunkt aktiviert ist. Verwenden Sie-
, um Endpunkte in allen Zonen aufzulisten.BILLING_PROJECT_ID
: eine optionale Google Cloud-Projekt-ID, die für den Vorgang mit einem Kontingent belastet wird.
Firewall-Endpunkt bearbeiten
Sie können das Abrechnungsprojekt eines Firewall-Endpunkts in einer Organisation aktualisieren.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.
Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.
Klicken Sie auf Bearbeiten.
Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud-Projekt aus, das Sie für die Abrechnung des Firewall-Endpunkts verwenden möchten.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Bearbeiten eines Firewall-Endpunkts den gcloud network-security firewall-endpoints edit
-Befehl:
gcloud network-security firewall-endpoints \ update NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Ersetzen Sie dabei Folgendes:
NAME
: der Name des Firewall-Endpunkts.ORGANIZATION_ID
: die Organisation, in der der Endpunkt aktiviert ist.ZONE
: die Zone, in der der Endpunkt aktiviert ist.BILLING_PROJECT_ID
: Google Cloud-Projekt-ID, die Sie diesem Firewall-Endpunkt zur Abrechnung zuordnen möchten.
Firewall-Endpunkt löschen
Sie können einen Firewall-Endpunkt löschen, indem Sie seinen Namen, seine Zone und seine Organisation angeben.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie den Firewall-Endpunkt aus und klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie zum Löschen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints delete
-Befehl:
gcloud network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE
Ersetzen Sie dabei Folgendes:
NAME
: der Name des Firewall-Endpunkts.ORGANIZATION_ID
: die Organisation, in der der Endpunkt aktiviert ist.ZONE
: die Zone, in der der Endpunkt aktiviert ist.
Nächste Schritte
- Firewall-Endpunktverknüpfungen erstellen und verwalten
- Hierarchische Firewallrichtlinien und -regeln verwenden
- Globale Netzwerkrichtlinien und -regeln verwenden