Questa pagina spiega come creare e gestire le associazioni di endpoint firewall utilizzando la console Google Cloud e Google Cloud CLI.
Quando associ un endpoint firewall a una o più reti Virtual Private Cloud (VPC), crei l'associazione nella stessa zona dell'endpoint firewall. Puoi associare una rete VPC in una zona a un endpoint firewall a livello di progetto o di organizzazione.
Quando configuri le associazioni degli endpoint, rispetta questi requisiti:
In una singola zona, puoi associare una rete VPC a un solo endpoint firewall (a livello di progetto (anteprima) o di organizzazione). Tuttavia, puoi associare una rete VPC a endpoint firewall diversi in più zone.
Puoi associare una rete VPC a un endpoint firewall in un progetto separato. Questo vale sia per gli endpoint a livello di progetto (Anteprima) sia per quelli a livello di organizzazione. Se l'endpoint a livello di progetto si trova in un progetto separato, questo progetto deve risiedere nella stessa organizzazione della rete VPC.
Un endpoint del firewall con supporto dei frame jumbo può accettare pacchetti fino a 8500 byte. In alternativa, un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti solo fino a 1460 byte. Se hai bisogno del servizio di filtro URL o del servizio di rilevamento e prevenzione delle intrusioni, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo progetto Google Cloud .
Devi abilitare l'API Network Security nel tuo progetto Google Cloud .
Devi abilitare l'API Certificate Authority Service nel tuo progetto Google Cloud .
Installa gcloud CLI se vuoi eseguire gli esempi di riga di comando
gcloudin questa guida.Hai bisogno di un endpoint firewall.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare le associazioni di endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione e nel tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Quote
Per visualizzare le quote per le associazioni di endpoint firewall, consulta Quote e limiti.
Crea un'associazione di endpoint firewall
L'associazione di un endpoint firewall collega un endpoint firewall a una rete VPC in una zona specifica. Questa associazione garantisce che il traffico che corrisponde a una regola di intercettazione per la rete VPC associata in quella zona venga ispezionato dall'endpoint firewall. Per un'ispezione efficace del traffico, crea associazioni di endpoint nelle zone in cui vengono implementate le istanze di calcolo.
Per ogni combinazione di una rete VPC e una zona, puoi associare un endpoint firewall a livello di organizzazione o di progetto, ma non entrambi. Puoi creare associazioni di endpoint firewall utilizzando la console Google Cloud o gcloud CLI.
Un'associazione è una risorsa a livello di progetto. Crei l'associazione all'interno di un progetto specifico, anche se punta a un endpoint firewall a livello di organizzazione. Devi creare l'associazione nel progetto in cui vengono eseguito il deployment delle istanze di Compute.
Per creare un'associazione di endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI. Per creare un'associazione di endpoint firewall a livello di progetto (anteprima), utilizza gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud .
Fai clic su Crea associazione endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione di endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione di endpoint firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi aggiungere all'associazione.
Nell'elenco Rete, seleziona l'emittente che vuoi aggiungere all'associazione.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il comando gcloud network-security
firewall-endpoint-associations create.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations \
create NAME \
--endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall a livello di organizzazione.ENDPOINT_PROJECT_ID: l'ID progetto Google Cloud in cui viene creato l'endpoint firewall a livello di progetto.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il nome del progetto Google Cloud della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID Google Cloud progetto in cui viene creata l'associazione. Deve trattarsi del progetto in cui vuoi intercettare il traffico.TLS_PROJECT_NAME: il nome del progetto Google Cloud della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.Questa policy viene utilizzata per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Visualizza un'associazione di endpoint firewall
Per visualizzare i dettagli di un'associazione di endpoint firewall a livello di organizzazione o di un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.
gcloud
Per visualizzare un'associazione di endpoint firewall, utilizza il comando gcloud network-security
firewall-endpoint-associations describe.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione degli endpoint firewall.PROJECT_ID: l'ID Google Cloud progetto in cui viene creata l'associazione.
Elenca tutte le associazioni di endpoint firewall
Per elencare tutte le associazioni di endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI. Per elencare tutte le associazioni di endpoint firewall a livello di progetto, utilizza gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud .
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
gcloud
Per elencare le associazioni di endpoint firewall per una rete specifica, utilizza il
comando gcloud network-security firewall-endpoint-associations list
con il flag --filter.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC.PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione degli endpoint firewall.
Modifica un'associazione di endpoint firewall
Per modificare un'associazione di endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI. Per modificare un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud .
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Accanto all'associazione dell'endpoint firewall che vuoi aggiornare, fai clic su Modifica.
Per disattivare l'associazione di endpoint firewall, deseleziona la casella di controllo Abilita associazione.
Per aggiornare la policy di ispezione TLS, seleziona una nuova policy dall'elenco Policy di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione degli endpoint firewall.PROJECT_ID: l'ID Google Cloud progetto in cui viene creata l'associazione.TLS_PROJECT_NAME: il nome del progetto Google Cloud della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.
Elimina un'associazione di endpoint firewall
Per eliminare un'associazione di endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI. Per eliminare un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.
Quando un progetto Google Cloud viene eliminato, le associazioni di endpoint firewall associate vengono rimosse automaticamente. Questa eliminazione è irreversibile, anche se il progetto viene ripristinato in un secondo momento.
Tuttavia, a volte il processo di eliminazione di queste associazioni potrebbe non riuscire.
Se ciò accade e il progetto viene ripristinato, gli endpoint firewall associati vengono visualizzati nello stato ORPHAN all'interno del progetto ripristinato. Ciò indica il link inaccessibile tra il progetto e le relative risorse a causa dell'eliminazione non riuscita.
Puoi visualizzare queste associazioni orfane nella console Google Cloud , ma non puoi modificarle. Cloud Next Generation Firewall esegue periodicamente un processo in background che elimina queste risorse orfane.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud .
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Seleziona l'associazione degli endpoint firewall, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il comando
gcloud network-security
firewall-endpoint-associations delete.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione degli endpoint firewall.PROJECT_ID: l'ID Google Cloud progetto in cui viene creata l'associazione.