יצירה של נקודות קצה לחומת האש ושיוך של נקודות קצה

המסוף

1. נכנסים לדף Firewall endpoints במסוף Google Cloud .

   לדף Firewall endpoints

2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

3. לוחצים על יצירה.

4. ברשימה Region, בוחרים את האזור שבו רוצים ליצור את נקודת הקצה של חומת האש.

5. ברשימה Zone, בוחרים את התחום שבו רוצים ליצור את נקודת הקצה של חומת האש.

6. מזינים שם בשדה Name.

7. ברשימה Billing project, בוחרים את הפרויקט שרוצים להשתמש בו לחיוב של נקודת הקצה של חומת האש. Google Cloud

8. לוחצים על Continue.

9. אם רוצים שנקודת הקצה תתמוך ב-jumbo frames, מסמנים את התיבה Enable jumbo frames support. אחרת, מבטלים את הסימון של התיבה הזו.

10. לוחצים על Continue.

11. אם רוצים להוסיף שיוך של נקודת קצה לחומת אש, לוחצים על הוספת שיוך של נקודת קצה. אחרת, מדלגים על השלב הזה.

    1. ברשימה Project, בוחרים את הפרויקט שבו רוצים ליצור את השיוך של נקודת הקצה של חומת האש. Google Cloud
    2. אם Compute Engine API או Network Security API לא מופעלים בפרויקט Google Cloud , לוחצים על Enable.
    3. ברשימה Network, בוחרים את הרשת שרוצים לשייך לנקודת הקצה של חומת האש.
    4. ברשימה TLS inspection policy, בוחרים את מדיניות הבדיקה של TLS שרוצים להוסיף לאסוציאציה הזו.
    5. כדי להוסיף עוד שיוך, לוחצים על הוספת שיוך של נקודת קצה.

12. לוחצים על יצירה.

gcloud

כדי ליצור נקודת קצה של חומת אש, משתמשים בפקודה gcloud network-security firewall-endpoints create:

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

• ‫NAME: השם של נקודת הקצה של חומת האש.

• ‫ORGANIZATION_ID: הארגון שבו נקודת הקצה מופעלת.

• ‫ZONE: האזור שבו נקודת הקצה מופעלת.

• ‫BILLING_PROJECT_ID: מזהה פרויקט Google Cloud שישמש לחיוב של נקודת הקצה של חומת האש.

כדי ליצור נקודת קצה של חומת אש שתומכת ב-jumbo frames בגודל של עד 8,500 בייט, משתמשים בדגל האופציונלי --enable-jumbo-frames. מדלגים על הדגל הזה כדי ליצור נקודת קצה ללא תמיכה בפריים ג'מבו. מידע על גדלי המנות שנתמכים בנקודות קצה של חומת אש זמין במאמר גודל מנות נתמך.

כדי לשייך את נקודת הקצה של חומת האש לרשת VPC, ראו יצירת שיוכים של נקודות קצה של חומת אש.

Terraform

משתמשים במשאב Terraform‏ google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

כדי ליצור נקודת קצה של חומת אש שתומכת בפריימים גדולים (Jumbo Frames) בגודל של עד 8,500 בייט, מגדירים את השדה enable_jumbo_frames לערך true. כדי ליצור נקודת קצה של חומת אש שלא תומכת ב-jumbo frames, צריך להגדיר את השדה הזה לערך false. מידע על גדלי המנות שנתמכים בנקודות קצה של חומת אש זמין במאמר גודל מנות נתמך.

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

gcloud

כדי ליצור נקודת קצה של חומת אש, משתמשים בפקודה gcloud beta network-security firewall-endpoints create:

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

מחליפים את מה שכתוב בשדות הבאים:

• ‫NAME: השם של נקודת הקצה של חומת האש.

• ‫PROJECT_ID: הפרויקט שבו נקודת הקצה מופעלת.

• ‫ZONE: האזור שבו נקודת הקצה מופעלת.

כדי ליצור נקודת קצה של חומת אש שתומכת ב-jumbo frames בגודל של עד 8,500 בייט, משתמשים בדגל האופציונלי --enable-jumbo-frames. מדלגים על הדגל הזה כדי ליצור נקודת קצה ללא תמיכה בפריים ג'מבו. מידע על גדלי המנות שנתמכים בנקודות קצה של חומת אש זמין במאמר גודל מנות נתמך.

כדי לשייך את נקודת הקצה של חומת האש לרשת VPC, ראו יצירת שיוכים של נקודות קצה של חומת אש.

המסוף

1. נכנסים לדף Firewall endpoints במסוף Google Cloud .

   לדף Firewall endpoints

2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט הרצוי. Google Cloud

3. לוחצים על Create endpoint association.

4. ברשימה אזור, בוחרים את האזור שבו רוצים ליצור את השיוך של נקודת הקצה של חומת האש.

5. ברשימה Zone, בוחרים את האזור שבו רוצים ליצור את השיוך של נקודת הקצה של חומת האש.

6. ברשימה Firewall endpoint, בוחרים את נקודת הקצה של חומת האש שרוצים להוסיף לשיוך.

7. ברשימה רשת, בוחרים את הרשת שרוצים להוסיף לאסוציאציה.

8. ברשימה TLS inspection policy, בוחרים את מדיניות בדיקת ה-TLS שרוצים להוסיף לאסוציאציה הזו.

9. לוחצים על יצירה.

gcloud

כדי ליצור שיוך של נקודת קצה לחומת אש, משתמשים בפקודה gcloud network-security firewall-endpoint-associations create.

נקודת קצה של חומת אש ברמת הארגון

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

נקודת קצה של חומת אש ברמת הפרויקט

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

מחליפים את מה שכתוב בשדות הבאים:

• ‫NAME: השם של השיוך של נקודת הקצה של חומת האש.

• ‫ORGANIZATION_ID: מזהה הארגון שבו נוצרת נקודת הקצה של חומת האש ברמת הארגון.

• ‫ENDPOINT_PROJECT_ID: Google Cloud מזהה הפרויקט שבו נוצרה נקודת הקצה של חומת האש ברמת הפרויקט.

• ‫ZONE: האזור של נקודת הקצה של חומת האש.

• ‫FIREWALL_ENDPOINT_NAME: השם של נקודת הקצה של חומת האש.

• ‫PROJECT_NAME: שם הפרויקט של הרשת. Google Cloud

• ‫NETWORK_NAME: שם הרשת.

• ‫PROJECT_ID: מזהה הפרויקט ב- Google Cloud שבו נוצר השיוך. זה צריך להיות הפרויקט שבו רוצים ליירט את התנועה.

• ‫TLS_PROJECT_NAME: שם הפרויקט של מדיניות בדיקת ה-TLS. Google Cloud

• ‫REGION_NAME: שם האזור של מדיניות בדיקת ה-TLS.

• ‫TLS_POLICY_NAME: השם של מדיניות הבדיקה של TLS.

  המדיניות הזו משמשת לבדיקת TLS של התנועה המוצפנת ברשת שצוינה. זהו ארגומנט אופציונלי.