创建和管理防火墙端点

本页面介绍如何使用 Google Cloud 控制台和 Google Cloud CLI 配置和管理防火墙端点,并将其与 Virtual Private Cloud (VPC) 网络相关联。

您可以在可用区级层创建防火墙端点,然后将其与同一可用区中的一个或多个 VPC 网络关联。如果您在与 VPC 网络关联的防火墙政策中启用了第 7 层检查,匹配的流量将被透明地拦截并转发到防火墙端点。

准备工作

角色

如需获得创建、查看、更新或删除防火墙端点所需的权限,请让您的管理员向您授予组织的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限

配额

如需查看防火墙端点和关联的配额,请参阅配额和限制

创建防火墙端点

在特定可用区中创建防火墙端点。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击创建

  4. 区域列表中,选择要创建防火墙端点的区域。

  5. 可用区列表中,选择要创建防火墙端点的可用区。

  6. 名称字段中输入名称。

  7. 结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目。

  8. 点击继续

  9. 如果要添加防火墙端点关联,请点击添加端点关联,否则跳过此步骤。

    1. 项目列表中,选择要创建防火墙端点关联的 Google Cloud 项目。
    2. 如果 Google Cloud 项目未启用 Compute Engine API 或 Network Security API,请点击启用
    3. 网络列表中,选择要与防火墙端点关联的网络。
    4. TLS 检查政策列表中,选择要添加到此关联的 TLS 检查政策。
    5. 要添加其他关联,请点击添加端点关联

  10. 点击创建

gcloud

如需创建防火墙端点,请使用 gcloud network-security firewall-endpoints create 命令

gcloud network-security firewall-endpoints create NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

替换以下内容:

  • NAME:防火墙端点的名称。

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。

  • BILLING_PROJECT_ID:用于防火墙端点结算的 Google Cloud 项目 ID。

如需将防火墙端点与 VPC 网络关联,请参阅创建防火墙端点关联

查看防火墙端点

您可以查看特定防火墙端点的详细信息。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

    防火墙端点页面会列出组织中所有已配置的防火墙端点。

  3. 点击防火墙端点的名称以查看其详细信息。

gcloud

如需查看防火墙端点的详细信息,请使用 gcloud network-security firewall-endpoints describe 命令

gcloud network-security firewall-endpoints \
   describe NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE

替换以下内容:

  • NAME:防火墙端点的名称。

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。

列出防火墙端点

您可以列出组织中的所有防火墙端点。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 防火墙端点页面会列出组织中所有已配置的防火墙端点。

gcloud

如需列出所有防火墙端点,请使用 gcloud network-security firewall-endpoints list 命令

gcloud network-security firewall-endpoints list \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

替换以下内容:

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。 如需列出所有可用区中的端点,请使用 -

  • BILLING_PROJECT_ID:可选的 Google Cloud 项目 ID,用于收取操作配额的费用。

修改防火墙端点

您可以更新组织中防火墙端点的结算项目。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

    防火墙端点页面会列出组织中所有已配置的防火墙端点。

  3. 点击防火墙端点的名称以查看其详细信息。

  4. 点击修改

  5. 结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目。

  6. 点击保存

gcloud

如需修改防火墙端点,请使用 gcloud network-security firewall-endpoints edit 命令

gcloud network-security firewall-endpoints \
   update NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

替换以下内容:

  • NAME:防火墙端点的名称。

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。

  • BILLING_PROJECT_ID:您要与此防火墙端点关联以结算的 Google Cloud 项目 ID。

删除防火墙端点

您可以通过指定防火墙端点的名称、可用区和组织来删除它。

控制台

  1. 在 Google Cloud 控制台中,进入防火墙端点页面。

    进入“防火墙端点”

  2. 选择防火墙端点,然后点击删除

  3. 再次点击删除进行确认。

gcloud

如需删除防火墙端点,请使用 gcloud network-security firewall-endpoints delete 命令

gcloud network-security firewall-endpoints delete NAME
   --organization ORGANIZATION_ID \
   --zone ZONE

替换以下内容:

  • NAME:防火墙端点的名称。

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。

后续步骤