Questa pagina spiega come configurare e gestire un endpoint firewall e associarlo a una rete Virtual Private Cloud (VPC) utilizzando la console Google Cloud e Google Cloud CLI.
Crea un endpoint firewall a livello di zona, quindi associalo a una o più reti VPC nella stessa zona. Se hai attivato l'ispezione di livello 7 nel criterio del firewall associato alla tua rete VPC, il traffico corrispondente viene intercettato e inoltrato in modo trasparente all'endpoint firewall.
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo progetto Google Cloud.
Devi abilitare l'API Network Security nel progetto Google Cloud che vuoi utilizzare per la fatturazione.
Devi abilitare l'API Certificate Authority Service nel tuo progetto Google Cloud.
Installa gcloud CLI se vuoi eseguire gli esempi della riga di comando
gcloudin questa guida.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare gli endpoint del firewall, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.
Quote
Per visualizzare le quote per gli endpoint e le associazioni firewall, consulta Quote e limiti.
Crea un endpoint firewall
Crea un endpoint firewall in una zona specifica.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM nella tua organizzazione.
Autorizzazioni
networksecurity.firewallEndpoints.create
Ruoli
compute.networkAdmin
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic su Crea.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'endpoint del firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'endpoint del firewall.
Inserisci un nome nel campo Nome.
Nell'elenco Progetto di fatturazione, seleziona il progetto Google Cloud che vuoi utilizzare per la fatturazione dell'endpoint del firewall.
Fai clic su Continua.
Se vuoi aggiungere un'associazione di endpoint firewall, fai clic su Aggiungi associazione endpoint, altrimenti salta questo passaggio.
- Nell'elenco Progetto, seleziona il progetto Google Cloud in cui vuoi creare l'associazione dell'endpoint del firewall.
- Se l'API Compute Engine o l'API Network Security non sono abilitate per il progetto Google Cloud, fai clic su Abilita.
- Nell'elenco Rete, seleziona la rete da associare all'endpoint del firewall.
- Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
- Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
Per creare un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoints create:
gcloud network-security firewall-endpoints createNAME \ --organizationORGANIZATION_ID \ --zoneZONE \ --billing-projectBILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint del firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: un ID progetto Google Cloud da utilizzare per la fatturazione dell'endpoint del firewall.
Per associare l'endpoint firewall a una rete VPC, consulta Creare associazioni di endpoint firewall.
Visualizzare un endpoint firewall
Puoi visualizzare i dettagli di un endpoint firewall specifico.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM nella tua organizzazione.
Autorizzazioni
networksecurity.firewallEndpoints.get
Ruoli
compute.networkAdmincompute.networkUsercompute.networkViewer
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nell'organizzazione.
Fai clic sul nome dell'endpoint del firewall per visualizzarne i dettagli.
Per visualizzare i dettagli di un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoints describe:
gcloud network-security firewall-endpoints \ describeNAME \ --organizationORGANIZATION_ID \ --zoneZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint del firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Elenca gli endpoint firewall
Puoi elencare tutti gli endpoint del firewall di un'organizzazione.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM nella tua organizzazione.
Autorizzazioni
networksecurity.firewallEndpoints.list
Ruoli
compute.networkAdmincompute.networkUsercompute.networkViewer
Nella console Google Cloud, vai alla pagina Endpoint firewall.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nell'organizzazione.
Per elencare tutti gli endpoint del firewall, utilizza il
comando gcloud network-security firewall-endpoints list:
gcloud network-security firewall-endpoints list \ --organizationORGANIZATION_ID \ --zoneZONE \ --billing-projectBILLING_PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint. Per elencare gli endpoint in tutte le zone, utilizza-.BILLING_PROJECT_ID: un ID progetto Google Cloud facoltativo a cui verrà addebitata la quota per l'operazione.
Modificare un endpoint firewall
Puoi aggiornare il progetto di fatturazione di un endpoint firewall in un'organizzazione.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM nella tua organizzazione.
Autorizzazioni
networksecurity.firewallEndpoints.get
Ruoli
compute.networkAdmincompute.networkUsercompute.networkViewer
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nell'organizzazione.
Fai clic sul nome dell'endpoint del firewall per visualizzarne i dettagli.
Fai clic su Modifica.
Nell'elenco Progetto di fatturazione, seleziona il progetto Google Cloud che vuoi utilizzare per la fatturazione dell'endpoint del firewall.
Fai clic su Salva.
Per modificare un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoints edit:
gcloud network-security firewall-endpoints \ updateNAME \ --organizationORGANIZATION_ID \ --zoneZONE \ --billing-projectBILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint del firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: l'ID progetto Google Cloud che vuoi associare a questo endpoint firewall per la fatturazione.
Eliminare un endpoint firewall
Puoi eliminare un endpoint firewall specificandone il nome, la zona e l'organizzazione.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM nella tua organizzazione.
Autorizzazioni
networksecurity.firewallEndpoints.delete
Ruoli
-
compute.networkAdmin
Nella console Google Cloud, vai alla pagina Endpoint firewall.
Seleziona l'endpoint del firewall, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
Per eliminare un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoints delete:
gcloud network-security firewall-endpoints deleteNAME --organizationORGANIZATION_ID \ --zoneZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint del firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Passaggi successivi
- Creare e gestire le associazioni di endpoint firewall
- Utilizzare criteri e regole firewall gerarchici
- Utilizzare criteri e regole firewall di rete globali