Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Crea endpoint firewall e associazioni di endpoint

Questa pagina spiega come configurare un endpoint firewall e associarlo a una rete Virtual Private Cloud (VPC) utilizzando la Google Cloud console, Google Cloud CLI o Terraform.

Crea un endpoint firewall a livello di zona e poi lo associ a una o più reti VPC nella stessa zona. Se l'ispezione di livello 7 è abilitata nella policy firewall associata alla rete VPC, il traffico corrispondente viene intercettato e inoltrato in modo trasparente all'endpoint firewall.

Puoi creare un endpoint firewall con o senza supporto per i frame jumbo. Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta Dimensioni dei pacchetti supportate.

Prima di iniziare

Prima di configurare gli endpoint firewall e le associazioni:

Assicurati di avere una rete VPC e una subnet.
Abilita le API richieste:
- API Compute Engine (Compute Engine API) nel tuo Google Cloud progetto.
- API Network Security nel Google Cloud progetto che vuoi utilizzare per la fatturazione.
- API Certificate Authority Service nel tuo Google Cloud progetto.
Installa gcloud CLI se vuoi eseguire gcloud esempi della riga di comando.

Ruoli e autorizzazioni

Per ottenere le autorizzazioni necessarie per creare endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM (Identity and Access Management) necessari per la tua organizzazione o il tuo progetto. Per saperne di più, vedi Gestire l'accesso.

Per controllare lo stato di avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo account utente abbia il ruolo Utente di rete Compute (roles/compute.networkUser), che include le seguenti autorizzazioni:

networksecurity.operations.get
networksecurity.operations.list

Quote

Per visualizzare le quote per gli endpoint firewall e le associazioni, consulta Quote e limiti.

Creare un endpoint firewall

Crea un endpoint firewall in una zona specifica.

Endpoint a livello di organizzazione

Puoi creare un endpoint firewall a livello di organizzazione. Questi endpoint supportano solo i gruppi di profili di sicurezza a livello di organizzazione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM nella tua organizzazione.

Autorizzazioni

networksecurity.firewallEndpoints.create

Ruoli

Compute Network Admin (roles/compute.networkAdmin)
Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin) concesso a livello di organizzazione

Console

Nella Google Cloud console, vai alla pagina Endpoint firewall.

Vai a Endpoint firewall
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic su Crea.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'endpoint firewall.
Inserisci un nome nel campo Nome.
Non includere informazioni sensibili come informazioni che consentono l'identificazione personale o dati di sicurezza nel nome dell'endpoint firewall.
Nell'elenco Progetto di fatturazione, seleziona il Google Cloud progetto che vuoi utilizzare per la fatturazione dell'endpoint firewall.
Fai clic su Continua.
Se vuoi che l'endpoint supporti i frame jumbo, seleziona la casella di controllo Abilita supporto per i frame jumbo ; in caso contrario, deselezionala.
Fai clic su Continua.
Se vuoi aggiungere un'associazione di endpoint firewall, fai clic su Aggiungi associazione endpoint, altrimenti salta questo passaggio.
1. Nell'elenco Progetto, seleziona il Google Cloud progetto in cui vuoi creare l'associazione di endpoint firewall.
2. Se l'API Compute Engine o l'API Network Security non sono abilitate per il Google Cloud progetto, fai clic su Abilita.
3. Nell'elenco Rete, seleziona la rete che vuoi associare all'endpoint firewall.
4. Nell'elenco Policy di ispezione TLS, seleziona la policy di ispezione TLS che vuoi aggiungere a questa associazione.
5. Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.

gcloud

Per creare un endpoint firewall, utilizza il gcloud network-security firewall-endpoints create comando:

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

Sostituisci quanto segue:

NAME: il nome dell'endpoint firewall.
Non includere informazioni sensibili come informazioni che consentono l'identificazione personale o dati di sicurezza nel nome dell'endpoint firewall.
ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.
ZONE: la zona in cui è attivato l'endpoint.
BILLING_PROJECT_ID: l' Google Cloud ID progetto da utilizzare per la fatturazione dell'endpoint firewall.

Per creare un endpoint firewall che supporti frame jumbo di dimensioni fino a 8500 byte, utilizza il flag facoltativo --enable-jumbo-frames. Salta questo flag per creare un endpoint senza supporto per i frame jumbo. Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta Dimensioni dei pacchetti supportate.

Per associare l'endpoint firewall a una rete VPC, consulta Creare associazioni di endpoint firewall.

Terraform

Utilizza la risorsa Terraform google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

Per creare un endpoint firewall che supporti frame jumbo di dimensioni fino a 8500 byte, imposta il campo enable_jumbo_frames su true. Per creare un endpoint firewall che non supporti i frame jumbo, imposta questo campo su false. Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta Dimensioni dei pacchetti supportate.

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Endpoint a livello di progetto

Puoi creare un endpoint firewall a livello di progetto. Questi endpoint supportano i gruppi di profili di sicurezza a livello di organizzazione e di progetto.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM nella tua organizzazione.

Autorizzazioni

networksecurity.firewallEndpoints.create

Ruoli

Compute Network Admin (roles/compute.networkAdmin)
Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin) concesso a livello di progetto o di organizzazione

gcloud

Per creare un endpoint firewall, utilizza il gcloud beta network-security firewall-endpoints create comando:

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

Sostituisci quanto segue:

NAME: il nome dell'endpoint firewall.
Non includere informazioni sensibili come informazioni che consentono l'identificazione personale o dati di sicurezza nel nome dell'endpoint firewall.
PROJECT_ID: il progetto in cui è attivato l'endpoint.
ZONE: la zona in cui è attivato l'endpoint.

Per associare l'endpoint firewall a una rete VPC, consulta Creare associazioni di endpoint firewall.

Creare un'associazione di endpoint firewall

Un'associazione di endpoint firewall collega un endpoint firewall a una rete VPC in una zona specifica. Questa associazione garantisce che il traffico corrispondente a una regola di intercettazione per la rete associata in quella zona venga ispezionato dall'endpoint firewall.

Assicurati di avere un endpoint firewall prima di creare un'associazione.

Requisiti di associazione

Quando configuri le associazioni di endpoint, rispetta i seguenti requisiti:

Vincoli di zona: devi creare l'associazione nella stessa zona dell'endpoint firewall. Per un'ispezione efficace del traffico, crea associazioni nelle zone in cui sono di cui è stato eseguito il deployment delle istanze di Compute.
Un endpoint per zona: in una singola zona, puoi associare una rete VPC a un solo endpoint firewall (a livello di progetto (anteprima) o a livello di organizzazione). Tuttavia, puoi associare una singola rete VPC a endpoint firewall diversi in più zone diverse.
Associazioni tra progetti: puoi associare una rete VPC a un endpoint firewall in un progetto separato.
- Se utilizzi un endpoint a livello di progetto (anteprima), il progetto dell'endpoint deve risiedere nella stessa organizzazione della rete VPC.
Mapping delle risorse: un'associazione è una risorsa a livello di progetto. Crea l'associazione all'interno del progetto specifico in cui è stato eseguito il deployment delle istanze di Compute, anche se l'associazione punta a un endpoint firewall a livello di organizzazione.

Un endpoint firewall con supporto per i frame jumbo può accettare pacchetti fino a 8500 byte. In alternativa, un endpoint firewall senza supporto per i frame jumbo può accettare pacchetti fino a 1460 byte. Se hai bisogno del servizio di filtro URL o del servizio di rilevamento e prevenzione delle intrusioni, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per saperne di più, vedi Dimensioni dei pacchetti supportate.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM nel tuo progetto.

Autorizzazioni

networksecurity.firewallEndpointAssociations.create
networksecurity.firewallEndpoints.use nell'organizzazione o nel progetto in cui è stato creato l'endpoint firewall.

Ruoli

Compute Network Admin (roles/compute.networkAdmin)
Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin) concesso a livello di organizzazione o di progetto

Console

Nella Google Cloud console, vai alla pagina Endpoint firewall.

Vai a Endpoint firewall
Nel menu del selettore dei progetti, seleziona il tuo Google Cloud progetto.
Fai clic su Crea associazione endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione di endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione di endpoint firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi aggiungere all'associazione.
Nell'elenco Rete, seleziona la rete che vuoi aggiungere all'associazione.
Nell'elenco Policy di ispezione TLS, seleziona la policy di ispezione TLS che vuoi aggiungere a questa associazione.
Fai clic su Crea.

gcloud

Per creare un'associazione di endpoint firewall, utilizza il gcloud network-security firewall-endpoint-associations create comando.

Endpoint firewall a livello di organizzazione

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Endpoint firewall a livello di progetto

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Sostituisci quanto segue:

NAME: il nome dell'associazione di endpoint firewall.
Non includere informazioni sensibili come informazioni che consentono l'identificazione personale o dati di sicurezza nel nome dell'associazione di endpoint firewall.
ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall a livello di organizzazione.
ENDPOINT_PROJECT_ID: l'ID progetto in cui viene creato l'endpoint firewall a livello di progetto. Google Cloud
ZONE: la zona dell'endpoint firewall.
FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.
PROJECT_NAME: il Google Cloud nome progetto della rete.
NETWORK_NAME: il nome della rete.
PROJECT_ID: l' Google Cloud ID progetto in cui viene creata l' associazione. Questo deve essere il progetto in cui vuoi intercettare il traffico.
TLS_PROJECT_NAME: il Google Cloud nome progetto de lla policy di ispezione TLS.
REGION_NAME: il nome della regione della policy di ispezione TLS.
TLS_POLICY_NAME: il nome della policy di ispezione TLS.

Questa policy viene utilizzata per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.

Crea endpoint firewall e associazioni di endpoint Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Ruoli e autorizzazioni

Quote

Creare un endpoint firewall

Endpoint a livello di organizzazione

Autorizzazioni richieste per questa attività

Console

gcloud

Terraform

Endpoint a livello di progetto

Autorizzazioni richieste per questa attività

gcloud

Creare un'associazione di endpoint firewall

Requisiti di associazione

Autorizzazioni richieste per questa attività

Console

gcloud

Passaggi successivi

Crea endpoint firewall e associazioni di endpoint