Cette page explique comment configurer un point de terminaison de pare-feu et l'associer à un réseau cloud privé virtuel (VPC) à l'aide de la consoleGoogle Cloud et de la Google Cloud CLI.
Vous créez un point de terminaison de pare-feu au niveau d'une zone, puis vous l'associez à un ou plusieurs réseaux VPC dans la même zone. Si vous avez activé l'inspection de couche 7 dans la stratégie de pare-feu associée à votre réseau VPC, le trafic correspondant est intercepté et transféré de manière transparente vers le point de terminaison de pare-feu.
Vous pouvez créer un point de terminaison de pare-feu avec ou sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez Taille de paquet acceptée.
Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des autorisations Utilisateur de réseau Compute (roles/compute.networkUser) suivantes :
networksecurity.operations.getnetworksecurity.operations.list
Avant de commencer
Vous avez besoin d'un réseau VPC et d'un sous-réseau.
Vous devez activer l'API Compute Engine dans votre projet Google Cloud .
Vous devez activer l'API Network Security dans le projet Google Cloud que vous souhaitez utiliser pour la facturation.
Vous devez activer l'API Certificate Authority Service dans votre projet Google Cloud .
Installez gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande
gcloudde ce guide.
Rôles
Pour obtenir les autorisations nécessaires pour créer des points de terminaison de pare-feu, demandez à votre administrateur de vous accorder les rôles IAM requis sur votre organisation ou votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Quotas
Pour afficher les quotas des points de terminaison et des associations de pare-feu, consultez la page Quotas et limites.
Créer un point de terminaison de pare-feu
Créez un point de terminaison de pare-feu dans une zone spécifique.
Point de terminaison au niveau de l'organisation
Vous pouvez créer un point de terminaison de pare-feu au niveau de l'organisation. Ces points de terminaison ne sont compatibles qu'avec les groupes de profils de sécurité au niveau de l'organisation.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Cliquez sur Créer.
Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
Saisissez un nom dans le champ Nom.
Dans la liste Projet de facturation, sélectionnez le projet Google Cloud que vous souhaitez utiliser pour facturer le point de terminaison de pare-feu.
Cliquez sur Continuer.
Si vous souhaitez que le point de terminaison prenne en charge les trames géantes, cochez la case Activer la prise en charge des trames géantes. Sinon, décochez-la.
Cliquez sur Continuer.
Si vous souhaitez ajouter une association de points de terminaison de pare-feu, cliquez sur Ajouter une association de points de terminaison. Sinon, ignorez cette étape.
- Dans la liste Projet, sélectionnez le projet Google Cloud dans lequel vous souhaitez créer l'association de points de terminaison de pare-feu.
- Si l'API Compute Engine ou l'API Network Security ne sont pas activées pour le projet Google Cloud , cliquez sur Activer.
- Dans la liste Réseau, sélectionnez le réseau que vous souhaitez associer au point de terminaison de pare-feu.
- Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
- Pour ajouter une autre association, cliquez sur Ajouter une association de points de terminaison.
Cliquez sur Créer.
gcloud
Pour créer un point de terminaison de pare-feu, exécutez la commande gcloud network-security
firewall-endpoints create :
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.BILLING_PROJECT_ID: ID de projet Google Cloud à utiliser pour la facturation du point de terminaison de pare-feu.
Pour créer un point de terminaison de pare-feu compatible avec les trames géantes jusqu'à 8 500 octets, utilisez l'option facultative --enable-jumbo-frames. Ignorez cet indicateur pour créer un point de terminaison sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez Taille de paquet acceptée.
Pour associer le point de terminaison de pare-feu à un réseau VPC, consultez Créer des associations de points de terminaison de pare-feu.
Terraform
Utilisez la ressource Terraform google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Pour créer un point de terminaison de pare-feu compatible avec les trames géantes jusqu'à 8 500 octets, définissez le champ enable_jumbo_frames sur True. Pour créer un point de terminaison de pare-feu qui ne prend pas en charge les trames géantes, définissez ce champ sur False. Pour en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez Taille de paquet acceptée.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.
Point de terminaison au niveau du projet
Vous pouvez créer un point de terminaison de pare-feu au niveau du projet. Ces points de terminaison sont compatibles avec les groupes de profils de sécurité au niveau de l'organisation et du projet.
gcloud
Pour créer un point de terminaison de pare-feu, exécutez la commande gcloud beta network-security
firewall-endpoints create :
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.PROJECT_ID: projet dans lequel le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.
Pour créer un point de terminaison de pare-feu compatible avec les trames géantes jusqu'à 8 500 octets, utilisez l'option facultative --enable-jumbo-frames. Ignorez cet indicateur pour créer un point de terminaison sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez Taille de paquet acceptée.
Pour associer le point de terminaison de pare-feu à un réseau VPC, consultez Créer des associations de points de terminaison de pare-feu.
Étapes suivantes
- Créer des associations de points de terminaison de pare-feu
- Utiliser des stratégies et des règles de pare-feu hiérarchiques
- Utiliser des stratégies et des règles de pare-feu de réseau globales