En esta página, se explica cómo configurar y administrar un extremo de firewall además de cómo asociarlo con una red de nube privada virtual (VPC) con la consola de Google Cloud y Google Cloud CLI.
Debes crear un extremo de firewall al nivel de la zona y, luego, asociarlo con una o más redes de VPC en la misma zona. Si habilitaste la inspección de la capa 7 en la política de firewall asociada con tu red de VPC, el tráfico coincidente se intercepta y se reenvía al extremo del firewall con transparencia.
Antes de comenzar
Necesitas una red de VPC y una subred.
Debes habilitar la API de Compute Engine en tu proyecto de Google Cloud.
Debes habilitar la API de Network Security en el proyecto de Google Cloud que deseas usar para la facturación.
Debes habilitar la API de Certificate Authority Service en tu proyecto de Google Cloud.
Instala gcloud CLI si deseas ejecutar los ejemplos de la línea de comandos de
gcloud
de esta guía.
Funciones
Para obtener los permisos que necesitas a fin de crear, ver, actualizar o borrar extremo de firewall, pídele a tu administrador que te otorgue los roles de IAM necesarios en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.
Cuotas
Para ver las cuotas de las asociaciones y los extremos de firewall, consulta Cuotas y límites.
Crea un extremo de firewall
Crea un extremo de firewall en una zona específica.
Console
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en Crear.
En la lista Región, selecciona la región en la que deseas crear el extremo del firewall.
En la lista Zona, selecciona la zona en la que deseas crear el extremo del firewall.
Escribe un nombre en el campo Nombre.
En la lista Proyecto de facturación, elige el proyecto de Google Cloud que deseas usar para facturar el extremo del firewall.
Haz clic en Continuar.
Si deseas agregar una asociación de extremo de firewall, haz clic en Agregar asociación de extremo; de lo contrario, salta este paso.
- En la lista Proyecto, elige el proyecto de Google Cloud en el que deseas crear la asociación de extremo de firewall.
- Si la API de Compute Engine o la API de Network Security no están habilitadas para el proyecto de Google Cloud, haz clic en Habilitar.
- En la lista Red, elige la red que deseas asociar al extremo del firewall.
- En la lista Política de inspección de TLS, elige la política de inspección de TLS que deseas agregar a esta red de VPC.
- Para agregar otra asociación, haz clic en Agregar asociación de extremo.
Haz clic en Crear.
gcloud
Para crear un extremo de firewall, usa el comando gcloud network-security firewall-endpoints create
:
gcloud network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Reemplaza lo siguiente:
NAME
: es el nombre del extremo de firewall.ORGANIZATION_ID
: es la organización en la que se activa el extremo.ZONE
: es la zona donde está activado el extremo.BILLING_PROJECT_ID
: Es un ID del proyecto de Google Cloud que se usará para la facturación del extremo del firewall.
Para asociar el extremo de firewall a una red de VPC, consulta Crea asociaciones de extremos de firewall.
Visualiza un extremo de firewall
Puedes ver los detalles de un extremo de firewall específico.
Console
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyectos, selecciona tu organización.
En la página Extremos de firewall, se enumeran todos los extremos de firewall configurados en la organización.
Haz clic en el nombre del extremo de firewall para ver sus detalles.
gcloud
Para ver los detalles de un extremo de firewall, usa el
comando gcloud network-security firewall-endpoints describe
:
gcloud network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
Reemplaza lo siguiente:
NAME
: es el nombre del extremo de firewall.ORGANIZATION_ID
: es la organización en la que se activa el extremo.ZONE
: es la zona donde está activado el extremo.
Enumera extremos de firewall
Puedes enumerar todos los extremos de firewall en una organización.
Console
En la consola de Google Cloud, ve a la página Extremos de firewall.
En la página Extremos de firewall, se enumeran todos los extremos de firewall configurados en la organización.
gcloud
Para enumerar todos los extremos de firewall, usa el
comando gcloud network-security firewall-endpoints list
:
gcloud network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Reemplaza lo siguiente:
ORGANIZATION_ID
: es la organización en la que se activa el extremo.ZONE
: es la zona donde está activado el extremo. Para enumerar extremos en todas las zonas, usa-
.BILLING_PROJECT_ID
: un ID del proyecto de Google Cloud opcional al que se le cobrará la cuota por la operación.
Edita un extremo de firewall
Puedes actualizar el proyecto de facturación de un extremo de firewall en una organización.
Console
En la consola de Google Cloud, ve a la página Extremos de firewall.
En el menú de selección de proyectos, selecciona tu organización.
En la página Extremos de firewall, se enumeran todos los extremos de firewall configurados en la organización.
Haz clic en el nombre del extremo de firewall para ver sus detalles.
Haz clic en Editar.
En la lista Proyecto de facturación, elige el proyecto de Google Cloud que deseas usar para facturar el extremo del firewall.
Haz clic en Guardar.
gcloud
Para editar un extremo de firewall, usa el
comando gcloud network-security firewall-endpoints edit
:
gcloud network-security firewall-endpoints \ update NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Reemplaza lo siguiente:
NAME
: es el nombre del extremo de firewall.ORGANIZATION_ID
: es la organización en la que se activa el extremo.ZONE
: es la zona donde está activado el extremo.BILLING_PROJECT_ID
: es el ID del proyecto de Google Cloud que deseas asociar con este extremo de firewall para la facturación.
Borra un extremo de firewall
Puedes borrar un extremo de firewall si especificas su nombre, zona y organización.
Console
En la consola de Google Cloud, ve a la página Extremos de firewall.
Selecciona el extremo del firewall y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
gcloud
Para borrar un extremo de firewall, usa el
comando gcloud network-security firewall-endpoints delete
:
gcloud network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE
Reemplaza lo siguiente:
NAME
: es el nombre del extremo de firewall.ORGANIZATION_ID
: es la organización en la que se activa el extremo.ZONE
: es la zona donde está activado el extremo.
¿Qué sigue?
- Crea y administra asociaciones de extremos de firewall
- Usa reglas y políticas jerárquicas de firewall
- Usa reglas y políticas de firewall de red global