本页面介绍如何使用 Google Cloud 控制台和 Google Cloud CLI 配置和管理防火墙端点,并将其与 Virtual Private Cloud (VPC) 网络相关联。
您可以在可用区级层创建防火墙端点,然后将其与同一可用区中的一个或多个 VPC 网络关联。如果您在与 VPC 网络关联的防火墙政策中启用了第 7 层检查,匹配的流量将被透明地拦截并转发到防火墙端点。
须知事项
您必须在项目中启用 Compute Engine API。
您必须在项目中启用 Network Security API。
您必须在项目中启用 Certificate Authority Service API。
如果您要运行本指南中的
gcloud命令行示例,请安装 gcloud CLI。您需要有一个安全配置文件群组。
角色
如需获得创建、查看、更新或删除安全配置文件组所需的权限,请让您的管理员向您授予组织的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
创建防火墙端点
在特定可用区中创建防火墙端点。
控制台
在 Google Cloud 控制台中,进入防火墙端点页面。
在项目选择器下拉菜单中,选择您的组织。
点击创建。
在区域列表中,选择要创建防火墙端点的区域。
在可用区列表中,选择要创建防火墙端点的可用区。
在名称字段中输入名称。
点击创建。
gcloud
gcloud beta network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID \ --no-async --max-wait MAX_WAIT
请替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。BILLING_PROJECT_ID:用于防火墙端点结算的项目 ID。--no-async:可选标志,用于确定命令是否应等待正在进行的操作完成,等待时间最长为--max-wait,然后再返回操作 ID。默认等待时间为 60 分钟 (60m)。MAX_WAIT:可选参数,用于定义等待操作完成的最长时间。
查看防火墙端点
您可以查看特定防火墙端点的详细信息。
gcloud
gcloud beta network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
请替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。
列出防火墙端点
您可以列出组织中的所有防火墙端点。
控制台
在 Google Cloud 控制台中,进入防火墙端点页面。
防火墙端点页面会列出组织中所有已配置的防火墙端点。
gcloud
gcloud beta network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
请替换以下内容:
ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。BILLING_PROJECT_ID:将按操作付费的可选项目 ID。
删除防火墙端点
您可以通过指定防火墙端点的名称、可用区和组织来删除它。
控制台
在 Google Cloud 控制台中,进入防火墙端点页面。
选择防火墙端点,然后点击删除。
再次点击删除进行确认。
gcloud
gcloud beta network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE \ --no-async --max-wait MAX_WAIT
请替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。--no-async:可选标志,用于确定命令是否应等待正在进行的操作完成,等待时间最长为--max-wait,然后再返回操作 ID。默认等待时间为 60 分钟 (60m)。MAX_WAIT:可选参数,用于定义等待操作完成的最长时间。
创建防火墙端点关联
创建防火墙端点关联,以将 VPC 网络与防火墙端点相关联。
控制台
在 Google Cloud 控制台中,进入 VPC 网络页面。
点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。
选择防火墙端点标签页。
点击添加端点关联。
在区域列表中,选择要创建防火墙端点关联的区域。
在可用区列表中,选择要创建防火墙端点关联的可用区。
在防火墙端点列表中,选择要与此 VPC 网络关联的防火墙端点。
在 TLS 检查政策列表中,选择要添加到此 VPC 网络的 TLS 检查政策。
点击创建。
gcloud
gcloud beta network-security firewall-endpoint-associations \ create NAME \ --endpoint FIREWALL_ENDPOINT_NAME \ --network NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy TLS_POLICY_NAME \ --no-async --max-wait MAX_WAIT
请替换以下内容:
NAME:防火墙端点关联的名称。FIREWALL_ENDPOINT_NAME:防火墙端点的完全限定网址标识符,格式如下:organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAMENETWORK_NAME:网络的完全限定网址标识符,格式如下:projects/PROJECT_NAME/global/networks/NETWORK_NAMEZONE:您将在此可用区中将网络和防火墙端点相关联。PROJECT_ID:创建关联的可选项目 ID。TLS_POLICY_NAME:TLS 检查政策的完全限定网址标识符,格式如下:projects/PROJECT_NAME/locations/LOCATION/tlsInspectionPolicies/TLS_POLICY_NAME此政策用于对指定网络上的加密流量进行 TLS 检查。这是一个可选参数。
--no-async:可选标志,用于确定命令是否应等待正在进行的操作完成,等待时间最长为--max-wait,然后再返回操作 ID。默认等待时间为 60 分钟 (60m)。MAX_WAIT:可选参数,用于定义等待操作完成的最长时间。
查看防火墙端点关联
您可以查看可用区中特定防火墙端点关联的详细信息。
gcloud
gcloud beta network-security firewall-endpoint-association \ describe NAME \ --zone ZONE
请替换以下内容:
NAME:防火墙端点关联的名称。ZONE:防火墙端点关联的可用区。
列出防火墙端点关联
您可以列出一个可用区中的所有防火墙端点关联。
控制台
在 Google Cloud 控制台中,进入 VPC 网络页面。
点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。
选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。
gcloud
gcloud beta network-security firewall-endpoint-association list \ --zone ZONE
请替换以下内容:
ZONE:防火墙端点关联的可用区。
删除防火墙端点关联
您可以通过指定防火墙端点关联的名称和可用区来删除它。
控制台
在 Google Cloud 控制台中,进入 VPC 网络页面。
点击某个 VPC 网络的名称以显示其 VPC 网络详情页面。
选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。
选择一个端点关联,然后点击删除。
再次点击删除进行确认。
gcloud
gcloud beta network-security firewall-endpoint-association \ delete NAME \ --zone ZONE
请替换以下内容:
NAME:防火墙端点关联的名称。ZONE:防火墙端点关联的可用区。