Esta página explica como configurar e gerir um ponto final de firewall e associá-lo a uma rede de nuvem privada virtual (VPC) através daGoogle Cloud consola e da CLI do Google Cloud.
Cria um ponto final de firewall ao nível da zona e, em seguida, associa-o a uma ou mais redes de VPC na mesma zona. Se ativou a inspeção da camada 7 na política de firewall associada à sua rede VPC, o tráfego correspondente é intercetado e encaminhado de forma transparente para o ponto final da firewall.
Pode criar um ponto final de firewall com ou sem suporte de jumbo frames. Para ver informações sobre os tamanhos de pacotes suportados pelos pontos finais da firewall, consulte o artigo Tamanho de pacote suportado.
Antes de começar
Tem de ativar a API Compute Engine no seu Google Cloud projeto.
Tem de ativar a API Network Security no Google Cloud projeto que quer usar para a faturação.
Tem de ativar a API Certificate Authority Service no seu Google Cloud projeto.
Instale a CLI gcloud se quiser executar os exemplos de linha de comandos neste guia.
gcloud
Funções
Para receber as autorizações necessárias para criar, ver, atualizar ou eliminar endpoints de firewall, peça ao seu administrador que lhe conceda as funções do IAM necessárias na sua organização. Para mais informações sobre a concessão de funções, consulte o artigo Gerir acesso.
Quotas
Para ver as quotas de associações e pontos finais de firewall, consulte o artigo Quotas e limites.
Crie um ponto final de firewall
Crie um ponto final de firewall numa zona específica.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione a sua organização.
Clique em Criar.
Na lista Região, selecione a região onde quer criar o ponto final da firewall.
Na lista Zona, selecione a zona onde quer criar o ponto final da firewall.
Introduza um nome no campo Nome.
Na lista Projeto de faturação, selecione o Google Cloud projeto que quer usar para faturar o ponto final da firewall.
Clique em Continuar.
Se quiser que o ponto final suporte frames jumbo, selecione a caixa de verificação Ativar suporte de frames jumbo; caso contrário, desmarque esta caixa de verificação.
Clique em Continuar.
Se quiser adicionar uma associação de ponto final de firewall, clique em Adicionar associação de ponto final. Caso contrário, ignore este passo.
- Na lista Projeto, selecione o Google Cloud projeto onde quer criar a associação do ponto final da firewall.
- Se a API Compute Engine ou a API Network Security não estiverem ativadas para o projeto Google Cloud , clique em Ativar.
- Na lista Rede, selecione a rede que quer associar ao ponto final da firewall.
- Na lista Política de inspeção de TLS, selecione a política de inspeção de TLS que quer adicionar a esta associação.
- Para adicionar outra associação, clique em Adicionar associação de ponto final.
Clique em Criar.
gcloud
Para criar um ponto final de firewall, use o comando gcloud network-security
firewall-endpoints create:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Substitua o seguinte:
NAME: o nome do ponto final da firewall.ORGANIZATION_ID: a organização onde o ponto final está ativado.ZONE: a zona onde o ponto final está ativado.BILLING_PROJECT_ID: um Google Cloud ID do projeto a usar para a faturação do ponto final da firewall.
Para criar um ponto final de firewall que suporte frames jumbo com um tamanho máximo de 8500 bytes, use a flag --enable-jumbo-frames opcional. Ignore esta flag para criar um ponto final sem suporte de jumbo frames. Para ver informações sobre os tamanhos de pacotes suportados pelos pontos finais da firewall, consulte o artigo Tamanho de pacote suportado.
Para associar o ponto final da firewall a uma rede da VPC, consulte o artigo Criar associações de pontos finais da firewall.
Terraform
Use o google_network_security_firewall_endpoint recurso do Terraform.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Para criar um ponto final de firewall que suporte frames jumbo até 8500 bytes, defina o campo enable_jumbo_frames como True. Para criar um ponto final de firewall que não suporte frames jumbo, defina este campo como False. Para ver informações sobre os tamanhos de pacotes suportados pelos pontos finais da firewall, consulte o artigo Tamanho de pacote suportado.
Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform.
Veja um ponto final de firewall
Pode ver os detalhes de um ponto final da firewall específico.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione a sua organização.
A página Pontos finais da firewall apresenta todos os pontos finais da firewall configurados na organização.
Clique no nome do ponto final da firewall para ver os respetivos detalhes.
gcloud
Para ver os detalhes de um ponto final da firewall, use o gcloud network-security
firewall-endpoints describecomando:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Substitua o seguinte:
NAME: o nome do ponto final da firewall.ORGANIZATION_ID: a organização onde o ponto final está ativado.ZONE: a zona onde o ponto final está ativado.
Apresente os pontos finais da firewall
Pode listar todos os pontos finais da firewall numa organização.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
A página Pontos finais da firewall lista todos os pontos finais da firewall configurados na organização.
gcloud
Para apresentar uma lista de todos os pontos finais da firewall, use o gcloud network-security
firewall-endpoints list
comando:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Substitua o seguinte:
ORGANIZATION_ID: a organização onde o ponto final está ativado.ZONE: a zona onde o ponto final está ativado. Para listar pontos finais em todas as zonas, use-.BILLING_PROJECT_ID: um ID do projeto opcional que vai ser cobrado pela quota da operação.Google Cloud
Edite um ponto final da firewall
Pode atualizar o projeto de faturação de um ponto final de firewall numa organização.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
No menu do seletor de projetos, selecione a sua organização.
A página Pontos finais da firewall apresenta todos os pontos finais da firewall configurados na organização.
Clique no nome do ponto final da firewall para ver os respetivos detalhes.
Clique em Edit.
Na lista Projeto de faturação, selecione o Google Cloud projeto que quer usar para faturar o ponto final da firewall.
Clique em Guardar.
gcloud
Para editar um ponto final da firewall, use o gcloud network-security
firewall-endpoints edit
comando:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Substitua o seguinte:
NAME: o nome do ponto final da firewall.ORGANIZATION_ID: a organização onde o ponto final está ativado.ZONE: a zona onde o ponto final está ativado.BILLING_PROJECT_ID: o Google Cloud ID do projeto que quer associar a este ponto final da firewall para faturação.
Para obter informações sobre os tamanhos de pacotes suportados pelos pontos finais da firewall, consulte o artigo Tamanho de pacote suportado.
Elimine um ponto final de firewall
Pode eliminar um ponto final de firewall especificando o respetivo nome, zona e organização.
Consola
Na Google Cloud consola, aceda à página Firewall endpoints.
Selecione o ponto final da firewall e, de seguida, clique em Eliminar.
Clique novamente em Eliminar para confirmar.
gcloud
Para eliminar um ponto final de firewall, use o gcloud network-security
firewall-endpoints deletecomando:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Substitua o seguinte:
NAME: o nome do ponto final da firewall.ORGANIZATION_ID: a organização onde o ponto final está ativado.ZONE: a zona onde o ponto final está ativado.
O que se segue?
- Crie e faça a gestão de associações de pontos finais de firewall
- Use regras e políticas de firewall hierárquicas
- Use políticas e regras de firewall de rede globais