Utilizzare criteri e regole firewall di rete globali

Questa pagina presuppone che tu abbia familiarità con i concetti descritti nella Panoramica dei criteri firewall di rete globale.

Attività dei criteri firewall

Crea un criterio firewall di rete globale

Puoi creare un criterio per qualsiasi rete VPC all'interno del tuo progetto. Dopo un criterio, puoi associarlo a qualsiasi rete VPC all'interno del tuo progetto. Dopo l'associazione, le regole del criterio diventano attive per le VM nella rete associata.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nell'elenco del selettore progetti, seleziona il tuo progetto. all'interno della tua organizzazione.

  3. Fai clic su Crea criterio firewall di rete.

  4. Assegna un nome al criterio.

  5. In Ambito di deployment, seleziona Globale.

  6. Per creare regole per il criterio, fai clic su Continua e poi su Aggiungi regola.

    Per maggiori dettagli, vedi Creare regole firewall.

  7. Se vuoi associare il criterio a una rete, fai clic su Continua, quindi fai clic su Associa il criterio alle reti VPC.

    Per maggiori dettagli, consulta Associare un criterio alla rete.

  8. Fai clic su Crea.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME
    --description DESCRIPTION --global

Sostituisci quanto segue:

  • NETWORK_FIREWALL_POLICY_NAME: un nome per il criterio.
  • DESCRIPTION: una descrizione del criterio.

Associa un criterio alla rete

Associa un criterio a una rete per attivare le regole dei criteri per qualsiasi VM all'interno di quella rete.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla norma.

  4. Fai clic sulla scheda Associazioni.

  5. Fai clic su Aggiungi associazioni.

  6. Seleziona le reti all'interno del progetto.

  7. Fai clic su Associa.

gcloud 

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

Sostituisci quanto segue:

  • POLICY_NAME: il nome breve o il nome generato dal sistema del criterio.
  • NETWORK_NAME: il nome della tua rete.
  • ASSOCIATION_NAME: un nome facoltativo per l'associazione; se non specificato, il nome è impostato su "network-NETWORK_NAME".

Descrivere un criterio firewall di rete globale

Puoi visualizzare tutti i dettagli di un criterio, incluse tutte le relative regole firewall. Nella Inoltre, puoi vedere molti attributi all'interno di tutte le regole dei . Questi attributi vengono conteggiati ai fini del limite per ogni criterio.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio della firewall di rete globale.

  3. Fai clic sul criterio.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

Aggiornare la descrizione di un criterio firewall di rete globale

L'unico campo dei criteri che può essere aggiornato è Descrizione.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio firewall di rete globale.

  3. Fai clic sulla norma.

  4. Fai clic su Modifica.

  5. Nel campo Descrizione, modifica il testo.

  6. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

Elenca criteri firewall di rete globali

Puoi visualizzare un elenco dei criteri disponibili nel tuo progetto.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

    La sezione Criteri firewall di rete mostra i criteri disponibili in del progetto.

gcloud 

gcloud compute network-firewall-policies list --global

Elimina un criterio firewall di rete globale

Devi eliminare tutte le associazioni in un criterio firewall di rete globale prima di poterlo eliminare.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio da eliminare.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi associazioni.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

  1. Elenca tutte le reti associate a un criterio firewall:

    gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

  2. Eliminare singole associazioni. Per rimuovere l'associazione, devi avere il ruolo compute.SecurityAdmin nel criterio firewall di rete globale computing.networkAdmin" sulla rete VPC associata.

    gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

  3. Elimina il criterio:

    gcloud compute network-firewall-policies delete POLICY_NAME
    --global

Eliminare un'associazione

Per interrompere l'applicazione di un criterio firewall su una rete, elimina l'associazione.

Tuttavia, se intendi sostituire un criterio firewall con un altro, non è necessario eliminare prima l'associazione esistente. L'eliminazione di questa associazione comporta lasciare un periodo di tempo in cui nessuna delle norme viene applicata. Sostituisci invece norme esistenti quando associ una nuova norma.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto o la cartella che contiene il criterio.

  3. Fai clic sul criterio.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona l'associazione che vuoi eliminare.

  6. Fai clic su Rimuovi associazioni.

gcloud 

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

Attività relative alle regole del criterio firewall

Crea regole firewall di rete globale

Le regole del criterio firewall di rete globale devono essere create in un firewall di rete globale . Le regole non sono attive finché non associ il criterio che contiene queste regole con una rete VPC.

Ogni regola del criterio firewall di rete globale può includere intervalli IPv4 o IPv6, ma non entrambi.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene le tue norme.

  3. Fai clic sul nome del criterio globale.

  4. Nella scheda Regole firewall, fai clic su Crea.

  5. Compila i campi della regola:

    1. Nel campo Priorità, imposta il numero di ordine per la regola, dove 0 è la priorità più alta. Le priorità devono essere univoche per ogni regola. Una buona prassi è assegnare alle regole numeri di priorità che consentano un'inserimento successivo (ad es. 100, 200, 300).
    2. Come Direzione del traffico, scegli in entrata o in uscita.
    3. In Azione in caso di corrispondenza, scegli una delle seguenti opzioni:
      1. Allow: consenti le connessioni che corrispondono alla regola.
      2. Nega: nega le connessioni che corrispondono alla regola.
      3. Vai alla successiva: passa la valutazione della connessione alla successiva regola firewall di livello inferiore nella gerarchia.
      4. Procedi all'ispezione L7: invia i pacchetti all'endpoint firewall configurato per l'ispezione e la prevenzione a livello 7.
        • Nell'elenco Gruppo di profili di sicurezza, seleziona il nome di un gruppo di profili di sicurezza.
        • Per attivare l'ispezione TLS dei pacchetti, seleziona Abilita ispezione TLS.
    4. Imposta la raccolta Log su On o Off.
    5. Specifica il target della regola. Scegli una delle seguenti opzioni per il campo Tipo di target:
      • Se vuoi che la regola venga applicata a tutte le istanze nella rete, Scegli Tutte le istanze nella rete.
      • Se vuoi che la regola venga applicata a istanze selezionate in base ai tag, scegli Tag sicuri. Fai clic su SELEZIONA AMBITO e seleziona l'organizzazione o il progetto in in cui desideri creare tag. Inserisci le coppie chiave-valore a cui deve essere applicata la regola. Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
      • Se vuoi che la regola venga applicata a determinate istanze in base alla account di servizio, scegli Account di servizio, indica se l'account di servizio si trova nel progetto corrente o in un altro una in Ambito account di servizio e scegliere o digitare il servizio nel campo Account di servizio di destinazione.
    6. Per una regola In entrata, specifica il filtro Origine:
      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona IPv4, quindi inserisci i blocchi CIDR nell'intervallo IP . Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi origine IPv6.
      • Per limitare l'origine in base ai tag, fai clic su SELEZIONA AMBITO in Tag . Seleziona l'organizzazione o il progetto per cui vuoi creare Tag. Inserisci le coppie chiave-valore a cui . Per aggiungere altre coppie chiave-valore, fai clic su AGGIUNGI TAG.
    7. Per una regola in uscita, specifica il filtro destinazione:
      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona IPv6, quindi inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza ::/0 per qualsiasi destinazione IPv6.
    8. (Facoltativo) Se vuoi creare una regola in entrata, specifica l'origine I FQDN a cui si applica questa regola. Se crei una rete in uscita seleziona i FQDN di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti dei nomi di dominio, vedi Oggetti nome di dominio.
    9. (Facoltativo) Se vuoi creare una regola Ingress, seleziona l'origine Le geolocalizzazioni a cui si applica questa regola. Se crei una rete in uscita seleziona la geolocalizzazione di destinazione a cui si applica questa regola. Per ulteriori informazioni sugli oggetti di geolocalizzazione, vedi Oggetti di geolocalizzazione.
    10. (Facoltativo) Se stai creando una regola Ingresso, seleziona i Gruppi di indirizzi di origine a cui si applica questa regola. Se stai creando una regola In uscita, seleziona i gruppi di indirizzi di destinazione a cui si applica questa regola. Per ulteriori informazioni sui gruppi di indirizzi, consulta Gruppi di indirizzi per i criteri firewall.
    11. (Facoltativo) Se vuoi creare una regola Ingress, seleziona l'origine Google Cloud Threat Intelligence elenca a cui si applica questa regola. Se crei una regola Egress, seleziona la destinazione Google Cloud Threat Intelligence elenca a cui si applica questa regola. Per ulteriori informazioni su Threat Intelligence, vedi Intelligence sulle minacce per le regole dei criteri firewall.

    12. (Facoltativo) Per una regola Ingresso, specifica i filtri Destinazione:

      • Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
      • Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per ulteriori informazioni, consulta Destinazione per le regole di ingresso.

    13. (Facoltativo) Per una regola In uscita, specifica il filtro Origine:

      • Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona IPv4 e inserisci i blocchi CIDR nel campo Intervallo IP. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
      • Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona IPv6, e inserire i blocchi CIDR nel campo intervallo IP . Utilizza ::/0 per qualsiasi origine IPv6. Per ulteriori informazioni, vedi Origine per le regole di uscita.

    14. In Protocolli e porte, specifica che la regola si applica a tutti i protocolli e a tutte le porte di destinazione oppure a quali protocolli e porte di destinazione si applica.

    15. Fai clic su Crea.

  6. Fai clic su Aggiungi regola per aggiungere un'altra regola.

  7. Per associare il criterio a una rete, Fai clic su Continua > Associa criterio alle reti VPC, oppure fai clic su Crea per creare il criterio.

gcloud 

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION]
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging]\
    [--disabled | --no-disabled]\
    --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: l'ordine di valutazione numerica della regola

    Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 rappresenta la priorità più alta. Le priorità devono essere univoche per ogni regola. Un buon è dare alle regole numeri di priorità che consentano l'inserimento in un secondo momento (ad esempio 100, 200, 300).

  • ACTION: una delle seguenti azioni:

    • allow: consente le connessioni che corrispondono alla regola
    • deny: nega le connessioni che corrispondono alla regola
    • apply_security_profile_group: invia i pacchetti in modo trasparente alla L'endpoint firewall configurato per l'ispezione di livello 7.
    • goto_next: passa la valutazione della connessione al livello successivo tra la gerarchia, ovvero una cartella o

  • POLICY_NAME: il nome del criterio firewall di rete globale

  • SECURITY_PROFILE_GROUP: il nome di un gruppo di profili di sicurezza utilizzata per l'ispezione di livello 7; specificare questo parametro solo quando L'azione apply_security_profile_group è selezionata

  • --tls-inspect: controlla il traffico TLS utilizzando l'ispezione TLS quando viene selezionata l'azione apply_security_profile_group nella regola; per impostazione predefinita, l'ispezione TLS è disabilitata oppure puoi specificare --no-tls-inspect

  • TARGET_SECURE_TAG: un elenco separato da virgole di tag sicuri per definire i target

  • SERVICE_ACCOUNT: un elenco di servizi separato da virgole account per definire i target

  • DIRECTION: indica se la regola è una ingress o egress; il valore predefinito è ingress

    • Includi --src-ip-ranges per specificare gli intervalli di indirizzi IP per la sorgente del traffico.
    • Includi --dest-ip-ranges per specificare gli intervalli di indirizzi IP per la destinazione del traffico.

    Per ulteriori informazioni, consulta target, origine e destinazione.

  • IP_RANGES: un elenco separato da virgole di intervalli di indirizzi IP in formato CIDR, tutti gli intervalli di indirizzi IPv4 o tutti gli intervalli di indirizzi IPv6. Esempi:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: un elenco separato da virgole di Tag

  • COUNTRY_CODE: un elenco separato da virgole di codici paese di due lettere

    • Per la direzione di ingresso, specifica i codici paese nel parametro --src-region-code. Non puoi utilizzare il parametro --src-region-code per la direzione di uscita.
    • Per la direzione in uscita, i codici paese sono specificati nel campo Parametro --dest-region-code; non puoi usare --dest-region-code per la direzione in entrata

  • LIST_NAMES: un elenco di nomi separati da virgole di Elenchi di Threat Intelligence

    • Per la direzione di ingresso, specifica gli elenchi di Threat Intelligence di origine nel parametro --src-threat-intelligence. Non puoi utilizzare il parametro --src-threat-intelligence per la direzione di uscita
    • Per la direzione in uscita, specifica la Threat Intelligence di destinazione elenchi nel parametro --dest-threat-intelligence; non puoi usare Il parametro --dest-threat-intelligence per la direzione di ingresso

  • ADDR_GRP_URL: un identificatore URL univoco per il gruppo di indirizzi

    • Per la direzione di ingresso, specifica i gruppi di indirizzi di origine nel parametro --src-address-groups. Non puoi utilizzare il parametro --src-address-groups per la direzione di uscita.
    • Per la direzione di uscita, specifica i gruppi di indirizzi di destinazione nel parametro --dest-address-groups. Non puoi utilizzare il parametro --dest-address-groups per la direzione di ingresso.

  • DOMAIN_NAME: un elenco di nomi di dominio separati da virgola nel formato descritto in Formato del nome di dominio

    • Per la direzione di ingresso, specifica i nomi di dominio di origine nel parametro --src-fqdns. Non puoi utilizzare il parametro --src-fqdns per la direzione di uscita.
    • Per la direzione di uscita, specifica i gruppi di indirizzi di destinazione nel parametro --dest-fqdns. Non puoi utilizzare il parametro --dest-fqdns per la direzione di ingresso.

  • PROTOCOL_PORT: un elenco separato da virgole di nomi o numeri di protocollo (tcp,17), protocolli e porte di destinazione (tcp:80) o protocolli intervalli di porte di destinazione (tcp:5000-6000)

    Non puoi specificare una porta o un intervallo di porte senza un protocollo. Per ICMP, non è possibile specificare una porta o un intervallo di porte, ad esempio: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

    Per ulteriori informazioni, consulta la sezione su protocolli e porte.

  • --enable-logging e --no-enable-logging: attiva o disattiva Logging delle regole firewall per la regola specificata

  • --disabled: indica che la regola firewall, sebbene esista, è da non prendere in considerazione durante l'elaborazione delle connessioni; omettere questo abilita la regola, ma puoi specificare --no-disabled

Aggiornare una regola

Per le descrizioni dei campi, consulta Creare regole firewall.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio.

  4. Fai clic sulla priorità della regola.

  5. Fai clic su Modifica.

  6. Modifica i campi da modificare.

  7. Fai clic su Salva.

gcloud 

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

Descrivere una regola

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio.

  4. Fai clic sulla priorità della regola.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi visualizzare. Poiché ogni regola deve avere una priorità univoca, questa impostazione identifica in modo univoco una regola
  • POLICY_NAME: il nome del criterio che contiene la regola

Elimina una regola da un criterio

L'eliminazione di una regola da un criterio comporta la rimozione della regola da tutte le VM che la ereditano.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sulla norma.

  4. Seleziona la regola da eliminare.

  5. Fai clic su Elimina.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola che vuoi elimina dal criterio
  • POLICY_NAME: il criterio contenente la regola

Clona le regole da un criterio all'altro

Rimuovi tutte le regole dal criterio di destinazione e sostituiscile con quelle del criterio di origine.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nel menu a discesa del selettore dei progetti, seleziona il progetto che contiene il criterio.

  3. Fai clic sul criterio da cui vuoi copiare le regole.

  4. Fai clic su Clona nella parte superiore dello schermo.

  5. Specifica il nome di un criterio di destinazione.

  6. Se vuoi associare immediatamente la nuova norma, fai clic su Continua > Associa il criterio di rete alle risorse.

  7. Fai clic su Clona.

gcloud 

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

Sostituisci quanto segue:

  • POLICY_NAME: il criterio target in cui vuoi sostituire le regole con quelle clonate.
  • SOURCE_POLICY: l'URL della risorsa per il criterio di origine da cui vuoi clonare le regole.

Ottieni regole firewall efficaci per una rete

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e il criterio firewall di rete globale applicato a una rete VPC specificata.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic sulla rete per cui vuoi visualizzare le regole del criterio firewall.

  3. Fai clic su Criteri firewall.

  4. Espandi ciascun criterio firewall per visualizzare le regole che si applicano a questa rete.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sostituisci quanto segue:

  • NETWORK_NAME: la rete per cui vuoi visualizzare le regole effettive.

Puoi anche visualizzare le regole firewall efficaci per una rete dalla pagina Firewall.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. I criteri firewall sono elencati nella sezione Criteri firewall ereditati da questo progetto.

  3. Fai clic su ogni criterio del firewall per visualizzare le regole che si applicano a questa rete.

Ottenere regole firewall efficaci per un'interfaccia VM

Puoi visualizzare tutte le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole dei criteri firewall di rete globali applicati a un'interfaccia VM Compute Engine specifica.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Nel menu a discesa del selettore progetti, seleziona il progetto che contiene la VM.

  3. Fai clic sulla VM.

  4. In Interfacce di rete, fai clic sull'interfaccia.

  5. Visualizza le regole firewall effettive in Dettagli firewall e route.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE \
    [--zone ZONE]

Sostituisci quanto segue:

  • INSTANCE_NAME: la VM per cui vuoi visualizzare regole efficaci; Se non viene specificata alcuna interfaccia, il comando restituisce regole per l'interfaccia principale (nic0).
  • INTERFACE: l'interfaccia della VM che vuoi visualizzare le regole in vigore; il valore predefinito è nic0.
  • ZONE: la zona della VM; questa riga è facoltativa se la zona scelta è già impostata come predefinita.