Firewall-Endpunkte erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt konfigurieren und verwalten und ihn über dieGoogle Cloud Console und die Google Cloud CLI mit einem VPC-Netzwerk (Virtual Private Cloud) verknüpfen.

Sie erstellen einen Firewall-Endpunkt auf zonaler Ebene und verknüpfen ihn dann mit einem oder mehreren VPC-Netzwerken in derselben Zone. Wenn Sie die Layer-7-Prüfung in der mit Ihrem VPC-Netzwerk verknüpften Firewallrichtlinie aktiviert haben, wird der übereinstimmende Traffic transparent abgefangen und an den Firewall-Endpunkt weitergeleitet.

Sie können einen Firewallendpunkt mit oder ohne Unterstützung für Jumbo Frames erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Vorbereitung

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Firewall-Endpunkten benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Kontingente

Informationen zu Kontingenten für Firewall-Endpunkte und ‑Verknüpfungen finden Sie unter Kontingente und Limits.

Firewall-Endpunkt erstellen

Erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie in der Liste Region die Region aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  5. Wählen Sie in der Liste Zone die Zone aus, in der Sie den Firewall-Endpunkt erstellen möchten.

  6. Geben Sie in das Feld Name einen Namen ein.

  7. Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Wenn der Endpunkt Jumbo Frames unterstützen soll, klicken Sie das Kästchen Unterstützung von Jumbo Frames aktivieren an. Andernfalls entfernen Sie das Häkchen.

  10. Klicken Sie auf Weiter.

  11. Wenn Sie eine Firewall-Endpunktverknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen. Andernfalls überspringen Sie diesen Schritt.

    1. Wählen Sie in der Liste Projekt das Google Cloud Projekt aus, in dem Sie die Firewall-Endpunktverknüpfung erstellen möchten.
    2. Wenn die Compute Engine API oder die Network Security API für das Google Cloud Projekt nicht aktiviert sind, klicken Sie auf Aktivieren.
    3. Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie mit dem Firewall-Endpunkt verknüpfen möchten.
    4. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.
    5. Wenn Sie eine weitere Verknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen.

  12. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints create-Befehl:

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

  • BILLING_PROJECT_ID: eine Google Cloud Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

Verwenden Sie das optionale Flag --enable-jumbo-frames,um einen Firewall-Endpunkt zu erstellen, der Jumbo Frames mit einer Größe von bis zu 8.500 Bytes unterstützt. Lassen Sie dieses Flag aus, um einen Endpunkt ohne Unterstützung für Jumbo Frames zu erstellen. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.

Terraform

Verwenden Sie die Terraform-Ressource google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

Wenn Sie einen Firewall-Endpunkt erstellen möchten,der Jumbo Frames mit einer Größe von bis zu 8.500 Bytes unterstützt, legen Sie das Feld enable_jumbo_frames auf True fest. Wenn Sie einen Firewallendpunkt erstellen möchten, der keine Jumbo Frames unterstützt, legen Sie dieses Feld auf False fest. Informationen zu den von Firewallendpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Firewall-Endpunkt ansehen

Sie können die Details eines bestimmten Firewall-Endpunkts aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

    Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.

  3. Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.

gcloud

Wenn Sie Details zu einem Firewall-Endpunkt aufrufen möchten, verwenden Sie den gcloud network-security firewall-endpoints describe-Befehl:

gcloud network-security firewall-endpoints \
    describe NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Firewall-Endpunkte auflisten

Sie können alle Firewall-Endpunkte in einer Organisation auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.

gcloud

Verwenden Sie den gcloud network-security firewall-endpoints list-Befehl, um alle Firewall-Endpunkte aufzulisten:

gcloud network-security firewall-endpoints list \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist. Verwenden Sie -, um Endpunkte in allen Zonen aufzulisten.

  • BILLING_PROJECT_ID: eine optionaleGoogle Cloud Projekt-ID, die für den Vorgang mit einem Kontingent belastet wird.

Firewall-Endpunkt bearbeiten

Sie können das Abrechnungsprojekt eines Firewall-Endpunkts in einer Organisation aktualisieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

    Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.

  3. Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.

  4. Klicken Sie auf Bearbeiten.

  5. Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Bearbeiten eines Firewall-Endpunkts den gcloud network-security firewall-endpoints edit-Befehl:

gcloud network-security firewall-endpoints \
    update NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

  • BILLING_PROJECT_ID: Die Google Cloud Projekt-ID, die Sie diesem Firewall-Endpunkt zur Abrechnung zuordnen möchten.

Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Firewall-Endpunkt löschen

Sie können einen Firewall-Endpunkt löschen, indem Sie seinen Namen, seine Zone und seine Organisation angeben.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie den Firewall-Endpunkt aus und klicken Sie auf Löschen.

  3. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints delete-Befehl:

gcloud network-security firewall-endpoints delete NAME
    --organization ORGANIZATION_ID \
    --zone ZONE

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Nächste Schritte