本页面介绍如何使用Google Cloud 控制台和 Google Cloud CLI 配置和管理防火墙端点,并将其与虚拟私有云 (VPC) 网络相关联。
您可以在可用区级层创建防火墙端点,然后将其与同一可用区中的一个或多个 VPC 网络关联。如果您在与 VPC 网络关联的防火墙政策中启用了第 7 层检查,匹配的流量将被透明地拦截并转发到防火墙端点。
您可以创建支持或不支持巨型帧的防火墙端点。如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
准备工作
您必须在 Google Cloud 项目中启用 Compute Engine API。
您必须在要用于结算的 Google Cloud 项目中启用 Network Security API。
您必须在 Google Cloud 项目中启用 Certificate Authority Service API。
如果您要运行本指南中的
gcloud命令行示例,请安装 gcloud CLI。
角色
如需获得创建、查看、更新或删除防火墙端点所需的权限,请让您的管理员向您授予组织的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
配额
如需查看防火墙端点和关联的配额,请参阅配额和限制。
创建防火墙端点
在特定可用区中创建防火墙端点。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
在项目选择器菜单中,选择您的组织。
点击创建。
在区域列表中,选择要创建防火墙端点的区域。
在可用区列表中,选择要创建防火墙端点的可用区。
在名称字段中输入名称。
在结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目。
点击继续。
如果您希望端点支持巨型帧,请选中启用巨型帧支持复选框;否则,请清除此复选框。
点击继续。
如果您想添加防火墙端点关联,请点击添加端点关联;否则,请跳过此步骤。
- 在项目列表中,选择要创建防火墙端点关联的 Google Cloud 项目。
- 如果未为 Google Cloud 项目启用 Compute Engine API 或 Network Security API,请点击启用。
- 在网络列表中,选择要与防火墙端点关联的网络。
- 在 TLS 检查政策列表中,选择要添加到此关联的 TLS 检查政策。
- 如需添加其他关联,请点击添加端点关联。
点击创建。
gcloud
如需创建防火墙端点,请使用 gcloud network-security
firewall-endpoints create 命令:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。BILLING_PROJECT_ID:用于防火墙端点结算的 Google Cloud 项目 ID。
如需创建支持大小不超过 8,500 字节的巨型帧的防火墙端点,请使用可选的 --enable-jumbo-frames 标志。跳过此标志可创建不支持巨型帧的端点。如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
如需将防火墙端点与 VPC 网络关联,请参阅创建防火墙端点关联。
Terraform
使用 google_network_security_firewall_endpoint Terraform 资源。
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
如需创建支持大小不超过 8,500 字节的巨型帧的防火墙端点,请将字段 enable_jumbo_frames 设置为 True。如需创建不支持巨型帧的防火墙端点,请将此字段设置为 False。如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令。
查看防火墙端点
您可以查看特定防火墙端点的详细信息。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
在项目选择器菜单中,选择您的组织。
防火墙端点页面会列出组织中所有已配置的防火墙端点。
点击防火墙端点的名称以查看其详细信息。
gcloud
如需查看防火墙端点的详细信息,请使用 gcloud network-security
firewall-endpoints describe 命令:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。
列出防火墙端点
您可以列出组织中的所有防火墙端点。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
防火墙端点页面会列出组织中所有已配置的防火墙端点。
gcloud
如需列出所有防火墙端点,请使用 gcloud network-security
firewall-endpoints list 命令:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
替换以下内容:
ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。 如需列出所有可用区中的端点,请使用-。BILLING_PROJECT_ID:用于对操作配额计费的可选Google Cloud 项目 ID。
修改防火墙端点
您可以更新组织中防火墙端点的结算项目。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
在项目选择器菜单中,选择您的组织。
防火墙端点页面会列出组织中所有已配置的防火墙端点。
点击防火墙端点的名称以查看其详细信息。
点击修改。
在结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目。
点击保存。
gcloud
如需修改防火墙端点,请使用 gcloud network-security
firewall-endpoints edit 命令:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。BILLING_PROJECT_ID:要与此防火墙端点关联以进行结算的 Google Cloud 项目 ID。
如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
删除防火墙端点
您可以通过指定防火墙端点的名称、可用区和组织来删除它。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
选择防火墙端点,然后点击删除。
再次点击删除进行确认。
gcloud
如需删除防火墙端点,请使用 gcloud network-security
firewall-endpoints delete 命令:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。