Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt konfigurieren und verwalten und ihn über dieGoogle Cloud Console und die Google Cloud CLI mit einem VPC-Netzwerk (Virtual Private Cloud) verknüpfen.
Sie erstellen einen Firewall-Endpunkt auf zonaler Ebene und verknüpfen ihn dann mit einem oder mehreren VPC-Netzwerken in derselben Zone. Wenn Sie die Layer-7-Prüfung in der mit Ihrem VPC-Netzwerk verknüpften Firewallrichtlinie aktiviert haben, wird der übereinstimmende Traffic transparent abgefangen und an den Firewall-Endpunkt weitergeleitet.
Vorbereitung
Sie benötigen ein VPC-Netzwerk und ein Subnetz.
Sie müssen in Ihrem Google Cloud Projekt die Compute Engine API aktivieren.
Sie müssen die Network Security API in dem Google Cloud -Projekt, das Sie für die Abrechnung verwenden möchten, aktivieren.
Sie müssen in Ihrem Google Cloud Projekt die Certificate Authority Service API aktivieren.
Installieren Sie die gcloud CLI, wenn Sie die
gcloud-Befehlszeilenbeispiele in dieser Anleitung ausführen möchten.
Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Firewall-Endpunkten benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Kontingente
Informationen zu Kontingenten für Firewall-Endpunkte und ‑Verknüpfungen finden Sie unter Kontingente und Limits.
Firewall-Endpunkt erstellen
Erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone.
Console
Rufen Sie in der Google Cloud -Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Klicken Sie auf Erstellen.
Wählen Sie in der Liste Region die Region aus, in der Sie den Firewall-Endpunkt erstellen möchten.
Wählen Sie in der Liste Zone die Zone aus, in der Sie den Firewall-Endpunkt erstellen möchten.
Geben Sie in das Feld Name einen Namen ein.
Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.
Klicken Sie auf Weiter.
Wenn Sie eine Firewall-Endpunktverknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen. Andernfalls überspringen Sie diesen Schritt.
- Wählen Sie in der Liste Projekt das Google Cloud Projekt aus, in dem Sie die Firewall-Endpunktverknüpfung erstellen möchten.
- Wenn die Compute Engine API oder die Network Security API für das Google Cloud Projekt nicht aktiviert sind, klicken Sie auf Aktivieren.
- Wählen Sie in der Liste Netzwerk das Netzwerk aus, das Sie mit dem Firewall-Endpunkt verknüpfen möchten.
- Wählen Sie in der Liste TLS-Prüfungsrichtlinie die TLS-Prüfungsrichtlinie aus, die Sie dieser Verknüpfung hinzufügen möchten.
- Wenn Sie eine weitere Verknüpfung hinzufügen möchten, klicken Sie auf Endpunktverknüpfung hinzufügen.
Klicken Sie auf Erstellen.
gcloud
Verwenden Sie zum Erstellen eines Firewall-Endpunkts den gcloud network-security
firewall-endpoints create-Befehl:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.BILLING_PROJECT_ID: eine Google Cloud Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.
Informationen zum Verknüpfen des Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.
Firewall-Endpunkt ansehen
Sie können die Details eines bestimmten Firewall-Endpunkts aufrufen.
Console
Rufen Sie in der Google Cloud -Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.
Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.
gcloud
Wenn Sie Details zu einem Firewall-Endpunkt aufrufen möchten, verwenden Sie den gcloud network-security
firewall-endpoints describe-Befehl:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.
Firewall-Endpunkte auflisten
Sie können alle Firewall-Endpunkte in einer Organisation auflisten.
Console
Rufen Sie in der Google Cloud -Console die Seite Firewall-Endpunkte auf.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.
gcloud
Verwenden Sie den gcloud network-security
firewall-endpoints list-Befehl, um alle Firewall-Endpunkte aufzulisten:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ersetzen Sie Folgendes:
ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist. Verwenden Sie-, um Endpunkte in allen Zonen aufzulisten.BILLING_PROJECT_ID: eine optionaleGoogle Cloud Projekt-ID, die für den Vorgang mit einem Kontingent belastet wird.
Firewall-Endpunkt bearbeiten
Sie können das Abrechnungsprojekt eines Firewall-Endpunkts in einer Organisation aktualisieren.
Console
Rufen Sie in der Google Cloud -Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.
Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.
Klicken Sie auf Bearbeiten.
Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Bearbeiten eines Firewall-Endpunkts den gcloud network-security
firewall-endpoints edit-Befehl:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.BILLING_PROJECT_ID: die Google Cloud Projekt-ID, die Sie diesem Firewall-Endpunkt zur Abrechnung zuordnen möchten.
Firewall-Endpunkt löschen
Sie können einen Firewall-Endpunkt löschen, indem Sie seinen Namen, seine Zone und seine Organisation angeben.
Console
Rufen Sie in der Google Cloud -Console die Seite Firewall-Endpunkte auf.
Wählen Sie den Firewall-Endpunkt aus und klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie zum Löschen eines Firewall-Endpunkts den gcloud network-security
firewall-endpoints delete-Befehl:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Ersetzen Sie Folgendes:
NAME: der Name des Firewall-Endpunkts.ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.ZONE: die Zone, in der der Endpunkt aktiviert ist.
Nächste Schritte
- Firewall-Endpunktverknüpfungen erstellen und verwalten
- Hierarchische Firewallrichtlinien und -regeln verwenden
- Globale Netzwerkrichtlinien und -regeln verwenden