Questa pagina spiega come configurare e gestire un endpoint firewall e associarlo a una rete Virtual Private Cloud (VPC) utilizzando la Google Cloud console e Google Cloud CLI.
Crea un endpoint firewall a livello di zona e poi lo associ a una o più reti VPC nella stessa zona. Se hai abilitato l'ispezione di livello 7 nella policy firewall associata alla tua rete VPC, il traffico corrispondente viene intercettato e inoltrato in modo trasparente all'endpoint firewall.
Puoi creare un endpoint firewall con o senza supporto per i frame jumbo. Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta Dimensioni dei pacchetti supportate.
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo Google Cloud progetto.
Devi abilitare l'API Network Security nel Google Cloud progetto che vuoi utilizzare per la fatturazione.
Devi abilitare l'API Certificate Authority Service nel tuo Google Cloud progetto.
Installa gcloud CLI se vuoi eseguire gli
gcloudesempi della riga di comando in questa guida.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare gli endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso.
Quote
Per visualizzare le quote per gli endpoint firewall e le associazioni, consulta Quote e limiti.
Crea un endpoint firewall
Crea un endpoint firewall in una zona specifica.
Console
Nella Google Cloud console, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic su Crea.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'endpoint firewall.
Inserisci un nome nel campo Nome.
Nell'elenco Progetto di fatturazione, seleziona il Google Cloud progetto che vuoi utilizzare per la fatturazione dell'endpoint firewall.
Fai clic su Continua.
Se vuoi che l'endpoint supporti i frame jumbo, seleziona la casella di controllo Abilita supporto per i frame jumbo ; in caso contrario, deseleziona questa casella di controllo.
Fai clic su Continua.
Se vuoi aggiungere un'associazione di endpoint firewall, fai clic su Aggiungi associazione endpoint, altrimenti salta questo passaggio.
- Nell'elenco Progetto, seleziona il Google Cloud progetto in cui vuoi creare l'associazione di endpoint firewall.
- Se l'API Compute Engine o l'API Network Security non sono abilitate per il Google Cloud progetto, fai clic su Abilita.
- Nell'elenco Rete, seleziona la rete che vuoi associare all'endpoint firewall.
- Nell'elenco Policy di ispezione TLS, seleziona la policy di ispezione TLS che vuoi aggiungere a questa associazione.
- Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
gcloud
Per creare un endpoint firewall, utilizza il gcloud network-security
firewall-endpoints create
comando:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: l' Google Cloud ID progetto da utilizzare per la fatturazione dell'endpoint firewall.
Per creare un endpoint firewall che supporti frame jumbo di dimensioni fino a 8500 byte, utilizza il flag facoltativo --enable-jumbo-frames. Salta questo flag per creare un endpoint senza supporto per i frame jumbo. Per
informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta
Dimensioni dei pacchetti supportate.
Per associare l'endpoint firewall a una rete VPC, consulta Creare associazioni di endpoint firewall.
Terraform
Utilizza la risorsa Terraform google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Per creare un endpoint firewall che supporti frame jumbo di dimensioni fino a 8500 byte, imposta il campo enable_jumbo_frames su True. Per creare un endpoint firewall che non supporti i frame jumbo, imposta questo campo su False. Per
informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta
Dimensioni dei pacchetti supportate.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
Visualizza un endpoint firewall
Puoi visualizzare i dettagli di un endpoint firewall specifico.
Console
Nella Google Cloud console, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nell'organizzazione.
Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.
gcloud
Per visualizzare i dettagli di un endpoint firewall, utilizza il gcloud network-security
firewall-endpoints describe
comando:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Elenca gli endpoint firewall
Puoi elencare tutti gli endpoint firewall in un'organizzazione.
Console
Nella Google Cloud console, vai alla pagina Endpoint firewall.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nell'organizzazione.
gcloud
Per elencare tutti gli endpoint firewall, utilizza il gcloud network-security
firewall-endpoints list
comando:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint. Per elencare gli endpoint in tutte le zone, utilizza-.BILLING_PROJECT_ID: un ID progetto facoltativo a cui verrà addebitata la quota per l'operazione.Google Cloud
Aggiorna un endpoint firewall
Puoi aggiornare il progetto di fatturazione di un endpoint firewall in un'organizzazione.
Console
Nella Google Cloud console, vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nell'organizzazione.
Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.
Fai clic su Modifica.
Nell'elenco Progetto di fatturazione, seleziona il Google Cloud progetto che vuoi utilizzare per la fatturazione dell'endpoint firewall.
Fai clic su Salva.
gcloud
Per modificare un endpoint firewall, utilizza il gcloud network-security
firewall-endpoints update
comando:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: l' Google Cloud ID progetto che vuoi associare a questo endpoint firewall per la fatturazione.
Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta Dimensioni dei pacchetti supportate.
Elimina un endpoint firewall
Puoi eliminare un endpoint firewall specificandone il nome, la zona e l'organizzazione.
Console
Nella Google Cloud console, vai alla pagina Endpoint firewall.
Seleziona l'endpoint firewall, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un endpoint firewall, utilizza il gcloud network-security
firewall-endpoints delete
comando:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Passaggi successivi
- Crea e gestisci le associazioni di endpoint firewall
- Utilizza criteri e regole firewall gerarchici
- Utilizza criteri e regole firewall di rete globali