ファイアウォール エンドポイントの作成と管理

このページでは、Google Cloud コンソールと Google Cloud CLI を使用してファイアウォール エンドポイントを構成および管理し、Virtual Private Cloud(VPC)ネットワークに関連付ける方法について説明します。

ゾーンレベルでファイアウォール エンドポイントを作成し、同じゾーン内の 1 つ以上の VPC ネットワークに関連付けます。VPC ネットワークに関連付けられたファイアウォール ポリシーでレイヤ 7 インスペクションを有効にしている場合、一致したトラフィックは透過的にインターセプトされ、ファイアウォール エンドポイントに転送されます。

始める前に

ロール

ファイアウォール エンドポイントの作成、表示、更新、削除を行うために必要な権限を取得するには、組織に必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

割り当て

ファイアウォール エンドポイントと関連付けの割り当てについては、割り当てと上限をご覧ください。

ファイアウォール エンドポイントを作成する

特定のゾーンにファイアウォール エンドポイントを作成します。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織を選択します。

  3. [作成] をクリックします。

  4. [リージョン] リストで、ファイアウォール エンドポイントを作成するリージョンを選択します。

  5. [ゾーン] リストで、ファイアウォール エンドポイントを作成するゾーンを選択します。

  6. 必要に応じて、[名前] フィールドに名前を入力します。

  7. [課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。

  8. [続行] をクリックします。

  9. ファイアウォール エンドポイントの関連付けを追加する場合は、[エンドポイントの関連付けを追加] をクリックします。それ以外の場合は、この手順をスキップします。

    1. [プロジェクト] リストで、ファイアウォール エンドポイントの関連付けを作成する Google Cloud プロジェクトを選択します。
    2. Google Cloud プロジェクトで Compute Engine API または Network Security API が有効になっていない場合は、[有効にする] をクリックします。
    3. [ネットワーク] リストで、ファイアウォール エンドポイントに関連付けるネットワークを選択します。
    4. [TLS インスペクション ポリシー] リストで、この関連付けに追加する TLS インスペクション ポリシーを選択します。
    5. 別の関連付けを追加するには、[エンドポイントの関連付けを追加] をクリックします。

  10. [作成] をクリックします。

gcloud

ファイアウォール エンドポイントを作成するには、gcloud network-security firewall-endpoints create コマンドを使用します。

gcloud network-security firewall-endpoints create NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

  • BILLING_PROJECT_ID: ファイアウォール エンドポイントの課金に使用される Google Cloud プロジェクト ID。

ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

ファイアウォール エンドポイントを表示する

特定のファイアウォール エンドポイントの詳細を表示できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織を選択します。

    [ファイアウォール エンドポイント] ページに、組織で構成されているすべてのファイアウォール エンドポイントが一覧表示されます。

  3. ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。

gcloud

ファイアウォール エンドポイントの詳細を表示するには、gcloud network-security firewall-endpoints describe コマンドを使用します。

gcloud network-security firewall-endpoints \
   describe NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

ファイアウォール エンドポイントを一覧表示する

組織内のすべてのファイアウォール エンドポイントを一覧表示できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. [ファイアウォール エンドポイント] ページに、組織で構成されているすべてのファイアウォール エンドポイントが一覧表示されます。

gcloud

すべてのファイアウォール エンドポイントを一覧表示するには、gcloud network-security firewall-endpoints list コマンドを使用します。

gcloud network-security firewall-endpoints list \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

次のように置き換えます。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。すべてのゾーンのエンドポイントを一覧表示するには、- を使用します。

  • BILLING_PROJECT_ID: オペレーションの割り当てが課金対象となる Google Cloud プロジェクト ID(省略可)。

ファイアウォール エンドポイントを編集する

組織内のファイアウォール エンドポイントの課金プロジェクトを更新できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織を選択します。

    [ファイアウォール エンドポイント] ページに、組織で構成されているすべてのファイアウォール エンドポイントが一覧表示されます。

  3. ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。

  4. [編集] をクリックします。

  5. [課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。

  6. [保存] をクリックします。

gcloud

ファイアウォール エンドポイントを編集するには、gcloud network-security firewall-endpoints edit コマンドを使用します。

gcloud network-security firewall-endpoints \
   update NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

  • BILLING_PROJECT_ID: 課金用にこのファイアウォール エンドポイントに関連付ける Google Cloud プロジェクト ID。

ファイアウォール エンドポイントを削除する

名前、ゾーン、組織を指定して、ファイアウォール エンドポイントを削除できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. ファイアウォール エンドポイントを選択し、[削除] をクリックします。

  3. もう一度 [削除] をクリックして確定します。

gcloud

ファイアウォール エンドポイントを削除するには、gcloud network-security firewall-endpoints delete コマンドを使用します。

gcloud network-security firewall-endpoints delete NAME
   --organization ORGANIZATION_ID \
   --zone ZONE

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

次のステップ