Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt konfigurieren und verwalten und ihn über dieGoogle Cloud Console und die Google Cloud CLI mit einem VPC-Netzwerk (Virtual Private Cloud) verknüpfen.
Sie erstellen einen Firewall-Endpunkt auf zonaler Ebene und verknüpfen ihn dann mit einem oder mehreren VPC-Netzwerken in derselben Zone. Wenn Sie die Layer-7-Prüfung in der mit Ihrem VPC-Netzwerk verknüpften Firewallrichtlinie aktiviert haben, wird der übereinstimmende Traffic transparent abgefangen und an den Firewall-Endpunkt weitergeleitet.
Sie können einen Firewall-Endpunkt mit oder ohne Unterstützung für Jumbo-Frames erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.
Vorbereitung
Sie benötigen ein VPC-Netzwerk und ein Subnetz.
Sie müssen in Ihrem Google Cloud Projekt die Compute Engine API aktivieren.
Sie müssen die Network Security API in dem Google Cloud -Projekt, das Sie für die Abrechnung verwenden möchten, aktivieren.
Sie müssen in Ihrem Google Cloud Projekt die Certificate Authority Service API aktivieren.
Installieren Sie die gcloud CLI, wenn Sie die
gcloud-Befehlszeilenbeispiele in dieser Anleitung ausführen möchten.
Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Firewall-Endpunkten benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Kontingente
Informationen zu Kontingenten für Firewall-Endpunkte und ‑Verknüpfungen finden Sie unter Kontingente und Limits.
Firewall-Endpunkt erstellen
Erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone.
Endpunkt auf Organisationsebene
Sie können einen Firewall-Endpunkt auf Organisationsebene erstellen. Diese Endpunkte unterstützen nur Sicherheitsprofilgruppen auf Organisationsebene.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Klicken Sie auf Erstellen.
Wählen Sie in der Liste Region die Region aus, in der Sie den Firewall-Endpunkt erstellen möchten.
Wählen Sie in der Liste Zone die Zone aus, in der Sie den Firewall-Endpunkt erstellen möchten.
Geben Sie in das Feld Name einen Namen ein.
Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.
Klicken Sie auf Weiter.
Wenn der Endpunkt Jumbo Frames unterstützen soll, klicken Sie das Kästchen Unterstützung von Jumbo Frames aktivieren an. Andernfalls entfernen Sie das Häkchen.
Klicken Sie auf Weiter.
Wenn Sie eine Firewall-Endpunktverknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen. Andernfalls überspringen Sie diesen Schritt.
- Wählen Sie in der Liste Projekt das Google Cloud Projekt aus, in dem Sie die Firewall-Endpunktverknüpfung erstellen möchten.
- Wenn die Compute Engine API oder die Network Security API für das Google Cloud Projekt nicht aktiviert sind, klicken Sie auf Aktivieren.
- Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie mit dem Firewall-Endpunkt verknüpfen möchten.
- Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.
- Wenn Sie eine weitere Verknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen.
Klicken Sie auf Erstellen.
gcloud
Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud network-security
firewall-endpoints create-Befehl:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.BILLING_PROJECT_ID: eine Google Cloud Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.
Verwenden Sie das optionale Flag --enable-jumbo-frames,um einen Firewallendpunkt zu erstellen, der Jumbo Frames mit einer Größe von bis zu 8.500 Bytes unterstützt. Lassen Sie dieses Flag aus, um einen Endpunkt ohne Unterstützung für Jumbo Frames zu erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.
Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.
Terraform
Verwenden Sie die Terraform-Ressource google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Wenn Sie einen Firewall-Endpunkt erstellen möchten,der Jumbo-Frames mit einer Größe von bis zu 8.500 Bytes unterstützt, legen Sie das Feld enable_jumbo_frames auf True fest. Wenn Sie einen Firewallendpunkt erstellen möchten, der keine Jumbo Frames unterstützt, legen Sie dieses Feld auf False fest. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Endpunkt auf Projektebene
Sie können einen Firewall-Endpunkt auf Projektebene erstellen. Diese Endpunkte unterstützen Sicherheitsprofilgruppen auf Organisations- und Projektebene.
gcloud
Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud beta network-security
firewall-endpoints create-Befehl:
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.
Verwenden Sie das optionale Flag --enable-jumbo-frames,um einen Firewallendpunkt zu erstellen, der Jumbo Frames mit einer Größe von bis zu 8.500 Bytes unterstützt. Lassen Sie dieses Flag aus, um einen Endpunkt ohne Unterstützung für Jumbo Frames zu erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.
Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.
Firewall-Endpunkt ansehen
Sie können die Details eines bestimmten Firewall-Endpunkts aufrufen.
Endpunkte auf Organisationsebene
Wenn Sie die Details eines Firewall-Endpunkts auf Organisationsebene aufrufen möchten, verwenden Sie dieGoogle Cloud Console oder die gcloud CLI.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, in der der Endpunkt aktiviert wurde.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.
Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.
gcloud
Wenn Sie Details zu einem Firewall-Endpunkt aufrufen möchten, verwenden Sie den gcloud network-security
firewall-endpoints describe-Befehl:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.
Endpunkte auf Projektebene
Wenn Sie die Details eines Firewall-Endpunkts auf Projektebene aufrufen möchten, verwenden Sie die gcloud CLI.
gcloud
Wenn Sie Details zu einem Firewall-Endpunkt aufrufen möchten, verwenden Sie den gcloud beta network-security
firewall-endpoints describe-Befehl:
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.
Firewall-Endpunkte auflisten
Sie können alle Firewall-Endpunkte in einer Organisation oder einem Projekt auflisten.
Endpunkte auf Organisationsebene
Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um alle Firewall-Endpunkte auf Organisationsebene aufzulisten.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, in der der Endpunkt aktiviert wurde.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte aufgelistet.
gcloud
Verwenden Sie den gcloud network-security
firewall-endpoints list-Befehl, um alle Firewall-Endpunkte aufzulisten:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ersetzen Sie Folgendes:
ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist. Verwenden Sie-, um Endpunkte in allen Zonen aufzulisten.BILLING_PROJECT_ID: eine optionaleGoogle Cloud Projekt-ID, die für den Vorgang mit einem Kontingent belastet wird. Dies ist nur für Firewall-Endpunkte auf Organisationsebene erforderlich.
Endpunkte auf Projektebene
Verwenden Sie die gcloud CLI, um alle Firewall-Endpunkte auf Projektebene aufzulisten.
gcloud
Verwenden Sie den gcloud beta network-security
firewall-endpoints list-Befehl, um alle Firewall-Endpunkte aufzulisten:
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
Ersetzen Sie Folgendes:
PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist. Verwenden Sie-, um Endpunkte in allen Zonen aufzulisten.
Firewall-Endpunkt aktualisieren
Sie können Labels für einen Firewall-Endpunkt verwalten oder die Beschreibung aktualisieren.
Endpunkt auf Organisationsebene
Verwenden Sie zum Aktualisieren eines Firewall-Endpunkts auf Organisationsebene dieGoogle Cloud Console oder die gcloud CLI. Sie können auch das Abrechnungsprojekt eines Firewall-Endpunkts in einer Organisation aktualisieren.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, in der der Endpunkt aktiviert wurde.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte aufgelistet.
Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.
Klicken Sie auf Bearbeiten.
Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Aktualisieren eines Firewall-Endpunkts den gcloud network-security
firewall-endpoints update-Befehl:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.BILLING_PROJECT_ID: die Google Cloud Projekt-ID, die Sie diesem Firewall-Endpunkt zur Abrechnung zuordnen möchten. Dies ist nur für Firewall-Endpunkte auf Organisationsebene erforderlich.
Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.
Endpunkt auf Projektebene
Verwenden Sie die gcloud CLI, um einen Firewall-Endpunkt auf Projektebene zu aktualisieren. Sie können Labels für einen Firewall-Endpunkt verwalten oder die Beschreibung aktualisieren.
gcloud
Verwenden Sie zum Aktualisieren eines Firewall-Endpunkts den gcloud beta network-security
firewall-endpoints update-Befehl:
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.
Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.
Firewall-Endpunkt löschen
Sie können einen Firewall-Endpunkt löschen, indem Sie seinen Namen, seine Zone und seine Organisation oder sein Projekt angeben.
Endpunkte auf Organisationsebene
Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um einen Firewall-Endpunkt auf Organisationsebene zu löschen.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, in der der Endpunkt aktiviert wurde.
Wählen Sie den Firewall-Endpunkt aus und klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie zum Löschen eines Firewall-Endpunkts den gcloud network-security
firewall-endpoints delete-Befehl:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.
Endpunkte auf Projektebene
Verwenden Sie die gcloud CLI, um einen Firewall-Endpunkt auf Projektebene zu löschen.
gcloud
Verwenden Sie zum Löschen eines Firewall-Endpunkts den gcloud network-security
firewall-endpoints delete-Befehl:
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.
Nächste Schritte
- Firewall-Endpunktverknüpfungen erstellen und verwalten
- Hierarchische Firewallrichtlinien und -regeln verwenden
- Globale Netzwerkrichtlinien und -regeln verwenden