Questa pagina spiega come configurare e gestire un endpoint firewall e associarlo a una rete Virtual Private Cloud (VPC) utilizzando la consoleGoogle Cloud e Google Cloud CLI.
Crea un endpoint firewall a livello di zona e poi lo associa a una o più reti VPC nella stessa zona. Se hai abilitato l'ispezione di livello 7 nel criterio firewall associato alla tua rete VPC, il traffico corrispondente viene intercettato e inoltrato in modo trasparente all'endpoint firewall.
Puoi creare un endpoint firewall con o senza il supporto dei jumbo frame. Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint del firewall, consulta Dimensioni dei pacchetti supportate.
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo progetto Google Cloud .
Devi abilitare l'API Network Security nel progetto Google Cloud che vuoi utilizzare per la fatturazione.
Devi abilitare l'API Certificate Authority Service nel tuo progetto Google Cloud .
Installa gcloud CLI se vuoi eseguire gli esempi di riga di comando
gcloudin questa guida.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione o nel tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Quote
Per visualizzare le quote per gli endpoint firewall e le associazioni, consulta Quote e limiti.
Crea un endpoint firewall
Crea un endpoint firewall in una zona specifica.
Endpoint a livello di organizzazione
Puoi creare un endpoint firewall a livello di organizzazione. Questi endpoint supportano solo gruppi di profili di sicurezza a livello di organizzazione.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Fai clic su Crea.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'endpoint firewall.
Inserisci un nome nel campo Nome.
Nell'elenco Progetto di fatturazione, seleziona il progetto che vuoi utilizzare per la fatturazione dell'endpoint firewall. Google Cloud
Fai clic su Continua.
Se vuoi che l'endpoint supporti i frame jumbo, seleziona la casella di controllo Abilita supporto per i frame jumbo; altrimenti, deseleziona questa casella di controllo.
Fai clic su Continua.
Se vuoi aggiungere un'associazione di endpoint firewall, fai clic su Aggiungi associazione endpoint, altrimenti salta questo passaggio.
- Nell'elenco Progetto, seleziona il progetto Google Cloud in cui vuoi creare l'associazione di endpoint firewall.
- Se l'API Compute Engine o l'API Network Security non sono abilitate per il progetto Google Cloud , fai clic su Abilita.
- Nell'elenco Rete, seleziona la rete che vuoi associare all'endpoint firewall.
- Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
- Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
gcloud
Per creare un endpoint firewall, utilizza il comando gcloud network-security
firewall-endpoints create:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: un ID progetto da utilizzare per la fatturazione dell'endpoint firewall. Google Cloud
Per creare un endpoint del firewall che supporti frame jumbo di dimensioni fino a 8500 byte, utilizza il flag facoltativo --enable-jumbo-frames. Ignora questo
flag per creare un endpoint senza supporto dei frame jumbo. Per
informazioni sulle dimensioni dei pacchetti supportate dagli endpoint del firewall, consulta
Dimensioni dei pacchetti supportate.
Per associare l'endpoint firewall a una rete VPC, consulta la sezione Creare associazioni di endpoint firewall.
Terraform
Utilizza la risorsa Terraform google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Per creare un endpoint firewall che supporti frame jumbo di dimensioni fino a 8500 byte, imposta il campo enable_jumbo_frames su True. Per creare un endpoint firewall che non supporti i frame jumbo, imposta questo campo su False. Per
informazioni sulle dimensioni dei pacchetti supportate dagli endpoint del firewall, consulta
Dimensioni dei pacchetti supportate.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
Endpoint a livello di progetto
Puoi creare un endpoint firewall a livello di progetto. Questi endpoint supportano gruppi di profili di sicurezza a livello di organizzazione e di progetto.
gcloud
Per creare un endpoint firewall, utilizza il comando gcloud beta network-security
firewall-endpoints create:
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.PROJECT_ID: il progetto in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Per creare un endpoint del firewall che supporti frame jumbo di dimensioni fino a 8500 byte, utilizza il flag facoltativo --enable-jumbo-frames. Ignora questo
flag per creare un endpoint senza supporto dei frame jumbo. Per
informazioni sulle dimensioni dei pacchetti supportate dagli endpoint del firewall, consulta
Dimensioni dei pacchetti supportate.
Per associare l'endpoint firewall a una rete VPC, consulta la sezione Creare associazioni di endpoint firewall.
Visualizza un endpoint firewall
Puoi visualizzare i dettagli di un endpoint firewall specifico.
Endpoint a livello di organizzazione
Per visualizzare i dettagli di un endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona l'organizzazione in cui è stato attivato l'endpoint.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nell'organizzazione.
Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.
gcloud
Per visualizzare i dettagli di un endpoint firewall, utilizza il comando
gcloud network-security
firewall-endpoints describe:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Endpoint a livello di progetto
Per visualizzare i dettagli di un endpoint firewall a livello di progetto, utilizza gcloud CLI.
gcloud
Per visualizzare i dettagli di un endpoint firewall, utilizza il comando
gcloud beta network-security
firewall-endpoints describe:
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.PROJECT_ID: il progetto in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Elenca gli endpoint firewall
Puoi elencare tutti gli endpoint firewall in un'organizzazione o in un progetto.
Endpoint a livello di organizzazione
Per elencare tutti gli endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona l'organizzazione in cui è stato attivato l'endpoint.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati.
gcloud
Per elencare tutti gli endpoint firewall, utilizza il comando
gcloud network-security
firewall-endpoints list:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint. Per elencare gli endpoint in tutte le zone, utilizza-.BILLING_PROJECT_ID: un ID progettoGoogle Cloud facoltativo a cui verrà addebitata la quota per l'operazione. Questo è necessario solo per gli endpoint firewall a livello di organizzazione.
Endpoint a livello di progetto
Per elencare tutti gli endpoint firewall a livello di progetto, utilizza gcloud CLI.
gcloud
Per elencare tutti gli endpoint firewall, utilizza il comando
gcloud beta network-security
firewall-endpoints list:
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
Sostituisci quanto segue:
PROJECT_ID: il progetto in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint. Per elencare gli endpoint in tutte le zone, utilizza-.
Aggiorna un endpoint firewall
Puoi gestire le etichette o aggiornare la descrizione di un endpoint firewall.
Endpoint a livello di organizzazione
Per aggiornare un endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI. Puoi anche aggiornare il progetto di fatturazione di un endpoint firewall in un'organizzazione.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona l'organizzazione in cui è stato attivato l'endpoint.
La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati.
Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.
Fai clic su Modifica.
Nell'elenco Progetto di fatturazione, seleziona il progetto che vuoi utilizzare per la fatturazione dell'endpoint firewall. Google Cloud
Fai clic su Salva.
gcloud
Per aggiornare un endpoint firewall, utilizza il comando
gcloud network-security
firewall-endpoints update:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.BILLING_PROJECT_ID: l' Google Cloud ID progetto che vuoi associare a questo endpoint firewall per la fatturazione. Questo è necessario solo per gli endpoint firewall a livello di organizzazione.
Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, vedi Dimensioni dei pacchetti supportate.
Endpoint a livello di progetto
Per aggiornare un endpoint firewall a livello di progetto, utilizza gcloud CLI. Puoi gestire le etichette o aggiornare la descrizione di un endpoint firewall.
gcloud
Per aggiornare un endpoint firewall, utilizza il comando
gcloud beta network-security
firewall-endpoints update:
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.PROJECT_ID: il progetto in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, vedi Dimensioni dei pacchetti supportate.
Elimina un endpoint firewall
Puoi eliminare un endpoint firewall specificandone il nome, la zona e l'organizzazione o il progetto.
Endpoint a livello di organizzazione
Per eliminare un endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.
Console
Nella console Google Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona l'organizzazione in cui è stato attivato l'endpoint.
Seleziona l'endpoint firewall, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un endpoint firewall, utilizza il comando
gcloud network-security
firewall-endpoints delete:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Endpoint a livello di progetto
Per eliminare un endpoint firewall a livello di progetto, utilizza gcloud CLI.
gcloud
Per eliminare un endpoint firewall, utilizza il comando
gcloud network-security
firewall-endpoints delete:
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
Sostituisci quanto segue:
NAME: il nome dell'endpoint firewall.PROJECT_ID: il progetto in cui è attivato l'endpoint.ZONE: la zona in cui è attivato l'endpoint.
Passaggi successivi
- Crea e gestisci le associazioni di endpoint firewall
- Utilizzare criteri e regole firewall gerarchici
- Utilizzare regole e policy firewall di rete globali