Questa pagina spiega come configurare e gestire un endpoint firewall e associarlo a una rete Virtual Private Cloud (VPC) utilizzando la console Google Cloud e Google Cloud CLI.
Crea un endpoint firewall a livello di zona, quindi lo associ a una o più reti VPC nella stessa zona. Se hai abilitato l'ispezione di livello 7 nel criterio firewall associato alla rete VPC, il traffico corrispondente viene intercettato e inoltrato in modo trasparente all'endpoint firewall.
Prima di iniziare
Devi enable l'API Compute Engine nel tuo progetto Google Cloud.
Devi enable l'API Network Security nel progetto Google Cloud che vuoi utilizzare per la fatturazione.
Devi enable l'API Certificate Authority Service nel tuo progetto Google Cloud.
Installa gcloud CLI se vuoi eseguire gli esempi di riga di comando
gcloudin questa guida.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare gli endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestione dell'accesso.
Quote
Per visualizzare le quote per gli endpoint e le associazioni del firewall, consulta Quote e limiti.
Crea un endpoint firewall
Crea un endpoint firewall in una zona specifica.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore progetti, seleziona la tua organizzazione.
Fai clic su Crea.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'endpoint firewall.
Inserisci un nome nel campo Nome.
Nell'elenco Progetto di fatturazione, seleziona il progetto Google Cloud che vuoi utilizzare per la fatturazione dell'endpoint firewall.
Fai clic su Continua.
Se vuoi aggiungere un'associazione di endpoint firewall, fai clic su Aggiungi associazione di endpoint, altrimenti salta questo passaggio.
- Nell'elenco Progetto, seleziona il progetto Google Cloud in cui vuoi creare l'associazione dell'endpoint firewall.
- Se l'API Compute Engine o l'API Network Security non sono abilitate per il progetto Google Cloud, fai clic su Abilita.
- Nell'elenco Rete, seleziona la rete che vuoi associare all'endpoint firewall.
- Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
- Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
gcloud
Per creare un endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints create:
gcloud network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: un ID progetto Google Cloud da utilizzare per la fatturazione dell'endpoint firewall.
Per associare l'endpoint firewall a una rete VPC, consulta Creare associazioni di endpoint firewall.
Visualizza un endpoint firewall
Puoi visualizzare i dettagli di un endpoint firewall specifico.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore progetti, seleziona la tua organizzazione.
Nella pagina Endpoint firewall sono elencati tutti gli endpoint firewall configurati nell'organizzazione.
Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.
gcloud
Per visualizzare i dettagli di un endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints describe:
gcloud network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Elenca endpoint firewall
Puoi elencare tutti gli endpoint firewall di un'organizzazione.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nella pagina Endpoint firewall sono elencati tutti gli endpoint firewall configurati nell'organizzazione.
gcloud
Per elencare tutti gli endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints list:
gcloud network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint. Per elencare gli endpoint in tutte le zone, usa-.BILLING_PROJECT_ID: un ID progetto Google Cloud facoltativo a cui verrà addebitata la quota per l'operazione.
Modifica un endpoint firewall
Puoi aggiornare il progetto di fatturazione di un endpoint firewall in un'organizzazione.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore progetti, seleziona la tua organizzazione.
Nella pagina Endpoint firewall sono elencati tutti gli endpoint firewall configurati nell'organizzazione.
Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.
Fai clic su Modifica.
Nell'elenco Progetto di fatturazione, seleziona il progetto Google Cloud che vuoi utilizzare per la fatturazione dell'endpoint firewall.
Fai clic su Salva.
gcloud
Per modificare un endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints edit:
gcloud network-security firewall-endpoints \ update NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: l'ID progetto Google Cloud che vuoi associare a questo endpoint firewall per la fatturazione.
Elimina un endpoint firewall
Puoi eliminare un endpoint firewall specificandone il nome, la zona e l'organizzazione.
Console
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Seleziona l'endpoint firewall, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints delete:
gcloud network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Passaggi successivi
- Creare e gestire le associazioni di endpoint firewall
- Utilizzare criteri e regole firewall gerarchici
- Utilizzare i criteri e le regole firewall della rete globale