Firewall-Endpunktverknüpfungen erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie Firewall-Endpunktzuordnungen mit der Google Cloud Console und der Google Cloud CLI erstellen und verwalten.

Wenn Sie einen Firewall-Endpunkt mit einem oder mehreren Virtual Private Cloud-Netzwerken (VPC) verknüpfen, erstellen Sie die Verknüpfung in der Zone, in der sich auch der Firewall-Endpunkt befindet. Sie können ein VPC-Netzwerk in einer Zone mit einem Firewall-Endpunkt auf Projekt- oder Organisationsebene verknüpfen.

Beachten Sie bei der Konfiguration von Endpunktzuordnungen die folgenden Anforderungen:

• In einer einzelnen Zone können Sie ein VPC-Netzwerk nur mit einem Firewall-Endpunkt verknüpfen (entweder auf Projektebene (Vorschau) oder auf Organisationsebene). Sie können jedoch ein VPC-Netzwerk mit verschiedenen Firewall-Endpunkten in mehreren Zonen verknüpfen.

• Sie können ein VPC-Netzwerk mit einem Firewall-Endpunkt in einem separaten Projekt verknüpfen. Dies gilt sowohl für Endpunkte auf Projektebene (Vorschau) als auch auf Organisationsebene. Wenn sich der Endpunkt auf Projektebene in einem separaten Projekt befindet, muss sich dieses Projekt in derselben Organisation wie Ihr VPC-Netzwerk befinden.

Ein Firewallendpunkt mit Unterstützung für Jumbo-Frames kann nur Pakete mit einer Größe von bis zu 8.500 Bytes akzeptieren. Alternativ kann ein Firewallendpunkt ohne Jumbo Frame-Unterstützung nur Pakete mit einer Größe von bis zu 1.460 Bytes akzeptieren. Wenn Sie einen URL-Filterdienst oder einen Dienst zur Einbruchserkennung und -verhinderung benötigen, empfehlen wir, die zugehörigen VPC-Netzwerke so zu konfigurieren, dass die Grenzwerte für die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) von 8.500 Byte und 1.460 Byte verwendet werden. Weitere Informationen finden Sie unter Unterstützte Paketgröße.

Vorbereitung

• Sie benötigen ein VPC-Netzwerk und ein Subnetz.

• Sie müssen in Ihrem Google Cloud Projekt die Compute Engine API aktivieren.

• Sie müssen die Network Security API in Ihrem Google Cloud Projekt aktivieren.

• Sie müssen in Ihrem Google Cloud Projekt die Certificate Authority Service API aktivieren.

• Installieren Sie die gcloud CLI, wenn Sie die gcloud-Befehlszeilenbeispiele in dieser Anleitung ausführen möchten.

• Sie benötigen einen Firewall-Endpunkt.

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Firewall-Endpunktverknüpfungen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Kontingente

Informationen zu Kontingenten für Firewall-Endpunktverknüpfungen finden Sie unter Kontingente und Limits.

Firewall-Endpunktverknüpfung erstellen

Eine Firewall-Endpunktverknüpfung verbindet einen Firewall-Endpunkt mit einem VPC-Netzwerk in einer bestimmten Zone. Diese Verknüpfung sorgt dafür, dass Traffic, der einer Abfangregel für das zugehörige VPC-Netzwerk in dieser Zone entspricht, vom Firewall-Endpunkt geprüft wird. Für eine effektive Traffic-Prüfung sollten Sie Endpunktzuordnungen in Zonen erstellen, in denen Ihre Compute-Instanzen bereitgestellt werden.

Für jede Kombination aus einem VPC-Netzwerk und einer Zone können Sie entweder einen Firewall-Endpunkt auf Organisationsebene oder auf Projektebene verknüpfen, aber nicht beides. Sie können Firewall-Endpunktzuordnungen mit der Google Cloud Console oder der gcloud CLI erstellen.

Eine Zuordnung ist eine Ressource auf Projektebene. Sie erstellen die Verknüpfung in einem bestimmten Projekt, auch wenn sie auf einen Firewall-Endpunkt auf Organisationsebene verweist. Sie sollten die Zuordnung in dem Projekt erstellen, in dem Ihre Compute-Instanzen bereitgestellt werden.

Verwenden Sie zum Erstellen einer Firewall-Endpunktverknüpfung auf Organisationsebene dieGoogle Cloud Console oder die gcloud CLI. Verwenden Sie die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Projektebene zu erstellen (Vorabversion).

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Firewall-Endpunktverknüpfung aufrufen

Wenn Sie Details zu einer Firewall-Endpunktverknüpfung auf Organisationsebene oder auf Projektebene aufrufen möchten, verwenden Sie die gcloud CLI.

gcloud network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

gcloud beta network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Alle Firewall-Endpunktverknüpfungen auflisten

Verwenden Sie dieGoogle Cloud console oder die gcloud CLI, um alle Firewall-Endpunktverknüpfungen auf Organisationsebene aufzulisten. Verwenden Sie die gcloud CLI, um alle Firewall-Endpunktverknüpfungen auf Projektebene aufzulisten.

gcloud network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

gcloud beta network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Firewall-Endpunktverknüpfung bearbeiten

Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Organisationsebene zu bearbeiten. Verwenden Sie die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Projektebene zu bearbeiten.

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

gcloud beta network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Firewall-Endpunktverknüpfung löschen

Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Organisationsebene zu löschen. Verwenden Sie die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Projektebene zu löschen.

Wenn ein Google Cloud -Projekt gelöscht wird, werden die zugehörigen Firewall-Endpunktzuordnungen automatisch entfernt. Das Löschen kann nicht rückgängig gemacht werden, auch wenn das Projekt später wiederhergestellt wird.

Das Löschen dieser Verknüpfungen kann jedoch manchmal fehlschlagen. In diesem Fall und nach der Wiederherstellung des Projekts haben die zugehörigen Firewallendpunkte im wiederhergestellten Projekt den Status ORPHAN. Dies weist auf die unterbrochene Verknüpfung zwischen dem Projekt und seinen Ressourcen aufgrund des fehlgeschlagenen Löschvorgangs hin.

Sie können sich diese verwaisten Verknüpfungen in der Google Cloud Console ansehen, sie jedoch nicht bearbeiten. Die Cloud Next Generation Firewall führt regelmäßig einen Hintergrundprozess aus, mit dem diese verwaisten Ressourcen gelöscht werden.

gcloud network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

gcloud beta network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Nächste Schritte

• Hierarchische Firewallrichtlinien und -regeln verwenden
• Globale Netzwerkrichtlinien und -regeln verwenden