Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Créer des points de terminaison de pare-feu et des associations de points de terminaison

Cette page explique comment configurer un point de terminaison de pare-feu et l'associer à un réseau cloud privé virtuel (VPC) à l'aide de la consoleGoogle Cloud , de Google Cloud CLI ou de Terraform.

Vous créez un point de terminaison de pare-feu au niveau d'une zone, puis vous l'associez à un ou plusieurs réseaux VPC dans la même zone. Si l'inspection de couche 7 est activée dans la stratégie de pare-feu associée à votre réseau VPC, le trafic correspondant est intercepté et transféré de manière transparente vers le point de terminaison de pare-feu.

Vous pouvez créer un point de terminaison de pare-feu avec ou sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez Taille de paquet acceptée.

Avant de commencer

Avant de configurer les points de terminaison et les associations de pare-feu, procédez comme suit :

Assurez-vous de disposer d'un réseau VPC et d'un sous-réseau.
Activez les API requises :
- API Compute Engine dans votre projet Google Cloud .
- API Network Security dans le projet Google Cloud que vous souhaitez utiliser pour la facturation.
- L'API Certificate Authority Service dans votre projet Google Cloud .
Installez la gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande gcloud.

Rôles et autorisations

Pour obtenir les autorisations nécessaires pour créer des points de terminaison de pare-feu, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) requis sur votre organisation ou votre projet. Pour en savoir plus, consultez Gérer l'accès.

Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre compte utilisateur dispose du rôle Utilisateur de réseau Compute (roles/compute.networkUser), qui inclut les autorisations suivantes :

networksecurity.operations.get
networksecurity.operations.list

Quotas

Pour afficher les quotas des points de terminaison et des associations de pare-feu, consultez la page Quotas et limites.

Créer un point de terminaison de pare-feu

Créez un point de terminaison de pare-feu dans une zone spécifique.

Point de terminaison au niveau de l'organisation

Vous pouvez créer un point de terminaison de pare-feu au niveau de l'organisation. Ces points de terminaison ne sont compatibles qu'avec les groupes de profils de sécurité au niveau de l'organisation.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.

Autorisations

networksecurity.firewallEndpoints.create

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin)
Administrateur de points de terminaison de pare-feu (roles/networksecurity.firewallEndpointAdmin) accordé au niveau de l'organisation

Console

Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.

Accéder à la page "Points de terminaison de pare-feu"
Dans le menu de sélection du projet, sélectionnez votre organisation.
Cliquez sur Créer.
Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer le point de terminaison de pare-feu.
Saisissez un nom dans le champ Nom.
N'incluez pas d'informations sensibles telles que des informations permettant d'identifier personnellement l'utilisateur ou des données de sécurité dans le nom du point de terminaison de pare-feu.
Dans la liste Projet de facturation, sélectionnez le projet Google Cloud que vous souhaitez utiliser pour facturer le point de terminaison de pare-feu.
Cliquez sur Continuer.
Si vous souhaitez que le point de terminaison prenne en charge les trames géantes, cochez la case Activer la prise en charge des trames géantes. Sinon, décochez-la.
Cliquez sur Continuer.
Si vous souhaitez ajouter une association de points de terminaison de pare-feu, cliquez sur Ajouter une association de points de terminaison. Sinon, ignorez cette étape.
1. Dans la liste Projet, sélectionnez le projet Google Cloud dans lequel vous souhaitez créer l'association de points de terminaison de pare-feu.
2. Si l'API Compute Engine ou l'API Network Security ne sont pas activées pour le projet Google Cloud , cliquez sur Activer.
3. Dans la liste Réseau, sélectionnez le réseau que vous souhaitez associer au point de terminaison de pare-feu.
4. Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
5. Pour ajouter une autre association, cliquez sur Ajouter une association de points de terminaison.
Cliquez sur Créer.

gcloud

Pour créer un point de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoints create :

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

Remplacez les éléments suivants :

NAME : nom du point de terminaison de pare-feu.
N'incluez pas d'informations sensibles telles que des informations permettant d'identifier personnellement l'utilisateur ou des données de sécurité dans le nom du point de terminaison de pare-feu.
ORGANIZATION_ID : organisation dans laquelle le point de terminaison est activé.
ZONE : zone dans laquelle le point de terminaison est activé.
BILLING_PROJECT_ID : ID de projet Google Cloud à utiliser pour la facturation du point de terminaison de pare-feu.

Pour créer un point de terminaison de pare-feu compatible avec les trames géantes jusqu'à 8 500 octets, utilisez l'option facultative --enable-jumbo-frames. Ignorez cet indicateur pour créer un point de terminaison sans prise en charge des trames géantes. Pour en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez Taille de paquet acceptée.

Pour associer le point de terminaison de pare-feu à un réseau VPC, consultez Créer des associations de points de terminaison de pare-feu.

Terraform

Utilisez la ressource Terraform google_network_security_firewall_endpoint.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

Pour créer un point de terminaison de pare-feu compatible avec les trames géantes jusqu'à 8 500 octets, définissez le champ enable_jumbo_frames sur true. Pour créer un point de terminaison de pare-feu qui ne prend pas en charge les trames géantes, définissez ce champ sur false. Pour en savoir plus sur les tailles de paquets acceptées par les points de terminaison de pare-feu, consultez Taille de paquet acceptée.

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

Point de terminaison au niveau du projet

Vous pouvez créer un point de terminaison de pare-feu au niveau du projet. Ces points de terminaison sont compatibles avec les groupes de profils de sécurité au niveau de l'organisation et du projet.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.

Autorisations

networksecurity.firewallEndpoints.create

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin)
Administrateur de points de terminaison de pare-feu (roles/networksecurity.firewallEndpointAdmin) accordé au niveau du projet ou de l'organisation

gcloud

Pour créer un point de terminaison de pare-feu, exécutez la commande gcloud beta network-security firewall-endpoints create :

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

Remplacez les éléments suivants :

NAME : nom du point de terminaison de pare-feu.
N'incluez pas d'informations sensibles telles que des informations permettant d'identifier personnellement l'utilisateur ou des données de sécurité dans le nom du point de terminaison de pare-feu.
PROJECT_ID : projet dans lequel le point de terminaison est activé.
ZONE : zone dans laquelle le point de terminaison est activé.

Pour associer le point de terminaison de pare-feu à un réseau VPC, consultez Créer des associations de points de terminaison de pare-feu.

Créer une association de point de terminaison de pare-feu

Une association de point de terminaison de pare-feu connecte un point de terminaison de pare-feu à un réseau VPC dans une zone spécifique. Cette association garantit que le trafic correspondant à une règle d'interception pour le réseau associé dans cette zone est inspecté par le point de terminaison de pare-feu.

Assurez-vous de disposer d'un point de terminaison de pare-feu avant de créer une association.

Exigences d'association

Lorsque vous configurez des associations de points de terminaison, respectez les exigences suivantes :

Contraintes liées à la zone : vous devez créer l'association dans la même zone que le point de terminaison de pare-feu. Pour inspecter efficacement le trafic, créez des associations dans les zones où vos instances de calcul sont déployées.
Un point de terminaison par zone : dans une même zone, vous ne pouvez associer un réseau VPC qu'à un seul point de terminaison de pare-feu (au niveau du projet (Preview) ou de l'organisation). Toutefois, vous pouvez associer un seul réseau VPC à différents points de terminaison de pare-feu dans plusieurs zones différentes.
Associations entre projets : vous pouvez associer un réseau VPC à un point de terminaison de pare-feu dans un autre projet.
- Si vous utilisez un point de terminaison au niveau du projet (Preview), le projet du point de terminaison doit résider dans la même organisation que le réseau VPC.
Mappage des ressources : une association est une ressource au niveau du projet. Vous créez l'association dans le projet spécifique où vos instances de calcul sont déployées, même si l'association pointe vers un point de terminaison de pare-feu au niveau de l'organisation.

Un point de terminaison de pare-feu compatible avec les trames géantes ne peut accepter que les paquets de 8 500 octets maximum. Un point de terminaison de pare-feu sans prise en charge des trames géantes ne peut accepter que les paquets jusqu'à 1 460 octets. Si vous avez besoin d'un service de filtrage d'URL ou d'un service de détection et de prévention des intrusions, nous vous recommandons de configurer les réseaux VPC associés pour qu'ils utilisent les limites d'unité de transmission maximale (MTU) de 8 500 et 1 460 octets. Pour en savoir plus, consultez Taille de paquet acceptée.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre projet.

Autorisations

networksecurity.firewallEndpointAssociations.create
networksecurity.firewallEndpoints.use sur l'organisation ou le projet dans lequel le point de terminaison de pare-feu est créé.

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin)
Administrateur de points de terminaison de pare-feu (roles/networksecurity.firewallEndpointAdmin) accordé au niveau de l'organisation ou du projet

Console

Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.

Accéder à la page "Points de terminaison de pare-feu"
Dans le menu de sélection du projet, sélectionnez votre projet Google Cloud .
Cliquez sur Créer une association de point de terminaison.
Dans la liste Région, sélectionnez la région dans laquelle vous souhaitez créer l'association de point de terminaison de pare-feu.
Dans la liste Zone, sélectionnez la zone dans laquelle vous souhaitez créer l'association de points de terminaison de pare-feu.
Dans la liste Point de terminaison de pare-feu, sélectionnez le point de terminaison de pare-feu que vous souhaitez ajouter à l'association.
Dans la liste Réseau, sélectionnez le réseau que vous souhaitez ajouter à l'association.
Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous souhaitez ajouter à cette association.
Cliquez sur Créer.

gcloud

Pour créer une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations create.

Point de terminaison de pare-feu au niveau de l'organisation

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Point de terminaison de pare-feu au niveau du projet

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Remplacez les éléments suivants :

NAME : nom de l'association de point de terminaison de pare-feu.
N'incluez pas d'informations sensibles telles que des informations permettant d'identifier personnellement l'utilisateur ou des données de sécurité dans le nom de l'association de points de terminaison de pare-feu.
ORGANIZATION_ID : identifiant de l'organisation dans laquelle le point de terminaison de pare-feu au niveau de l'organisation est créé.
ENDPOINT_PROJECT_ID : ID du projet Google Cloud dans lequel le point de terminaison de pare-feu au niveau du projet est créé.
ZONE : zone du point de terminaison de pare-feu.
FIREWALL_ENDPOINT_NAME : nom du point de terminaison de pare-feu.
PROJECT_NAME : nom du projet Google Cloud du réseau.
NETWORK_NAME : nom du réseau.
PROJECT_ID : ID du projet Google Cloud dans lequel l'association est créée. Il doit s'agir du projet dans lequel vous souhaitez intercepter le trafic.
TLS_PROJECT_NAME : nom du projet Google Cloud de la règle d'inspection TLS.
REGION_NAME : nom de la région de la règle d'inspection TLS.
TLS_POLICY_NAME : nom de la règle d'inspection TLS.

Cette règle est utilisée pour l'inspection TLS du trafic chiffré sur le réseau spécifié. Cet argument est facultatif.

Créer des points de terminaison de pare-feu et des associations de points de terminaison Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Avant de commencer

Rôles et autorisations

Quotas

Créer un point de terminaison de pare-feu

Point de terminaison au niveau de l'organisation

Autorisations requises pour cette tâche

Console

gcloud

Terraform

Point de terminaison au niveau du projet

Autorisations requises pour cette tâche

gcloud

Créer une association de point de terminaison de pare-feu

Exigences d'association

Autorisations requises pour cette tâche

Console

gcloud

Étapes suivantes

Créer des points de terminaison de pare-feu et des associations de points de terminaison