Nesta página, explicamos como configurar e gerenciar um endpoint de firewall e associá-lo a uma rede de nuvem privada virtual (VPC) usando o console doGoogle Cloud e a Google Cloud CLI.
Você cria um endpoint de firewall no nível zonal e o associa a uma ou mais redes VPC na mesma zona. Se você ativou a inspeção da camada 7 na política de firewall associada à rede VPC, o tráfego correspondente é interceptado e encaminhado de maneira transparente para o endpoint do firewall.
É possível criar um endpoint de firewall com ou sem suporte a frames jumbo. Para informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.
Antes de começar
É necessário ativar a API Compute Engine no projeto do Google Cloud .
É necessário ativar a API Network Security no projeto Google Cloud que você quer usar para faturamento.
É necessário ativar a API Certificate Authority Service no seu Google Cloud projeto.
Instale a CLI gcloud se você quiser executar os exemplos de linhas de comando
gcloudneste guia.
Papéis
Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de endpoints de firewall, solicite ao administrador que conceda a você os papéis do IAM necessários na sua organização ou projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Cotas
Para conferir as cotas de endpoints e associações de firewall, consulte Cotas e limites.
Criar um endpoint de firewall
Crie um endpoint de firewall em uma zona específica.
Endpoint no nível da organização
É possível criar um endpoint de firewall no nível da organização. Esses endpoints só oferecem suporte a grupos de perfis de segurança no nível da organização.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione sua organização.
Clique em Criar.
Na lista Região, selecione a região em que você quer criar o endpoint de firewall.
Na lista Zona, selecione a zona em que você quer criar o endpoint do firewall.
Digite um nome no campo Nome.
.Na lista Projeto de faturamento, selecione o projeto Google Cloud que você quer usar para o faturamento do endpoint do firewall.
Clique em Continuar.
Se você quiser que o endpoint ofereça suporte a frames jumbo, marque a caixa de seleção Ativar suporte a frames jumbo. Caso contrário, desmarque essa caixa.
Clique em Continuar.
Se você quiser adicionar uma associação de endpoint de firewall, clique em Adicionar associação de endpoint. Caso contrário, pule esta etapa.
- Na lista Projeto, selecione o projeto Google Cloud em que você quer criar a associação de endpoint de firewall.
- Se a API Compute Engine ou a API Network Security não estiverem ativadas para o projeto Google Cloud , clique em Ativar.
- Na lista Rede, selecione a rede que você quer associar ao endpoint de firewall.
- Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você quer adicionar a essa associação.
- Para adicionar outra associação, clique em Adicionar associação de endpoint.
Clique em Criar.
gcloud
Para criar um endpoint de firewall, use o comando
gcloud network-security
firewall-endpoints create:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Substitua:
.NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.BILLING_PROJECT_ID: um ID do projeto Google Cloud a ser usado para o faturamento do endpoint de firewall.
Para criar um endpoint de firewall que ofereça suporte a frames jumbo de até 8.500 bytes, use a flag opcional --enable-jumbo-frames. Pule essa
flag para criar um endpoint sem suporte a frames jumbo. Para
informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte
Tamanho de pacote compatível.
Para associar o endpoint de firewall a uma rede VPC, consulte Criar associações de endpoints de firewall.
Terraform
Use o recurso google_network_security_firewall_endpoint do Terraform.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Para criar um endpoint de firewall que ofereça suporte a frames jumbo de até 8.500 bytes, defina o campo enable_jumbo_frames como True. Para criar um endpoint de firewall que não seja compatível com frames jumbo, defina este campo como False. Para
informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte
Tamanho de pacote compatível.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
Endpoint para envolvidos no projeto
É possível criar um endpoint de firewall no nível do projeto. Esses endpoints são compatíveis com grupos de perfis de segurança no nível da organização e para envolvidos no projeto.
gcloud
Para criar um endpoint de firewall, use o comando
gcloud beta network-security
firewall-endpoints create:
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
Substitua:
.NAME: o nome do endpoint de firewall.PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Para criar um endpoint de firewall que ofereça suporte a frames jumbo de até 8.500 bytes, use a flag opcional --enable-jumbo-frames. Pule essa
flag para criar um endpoint sem suporte a frames jumbo. Para
informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte
Tamanho de pacote compatível.
Para associar o endpoint de firewall a uma rede VPC, consulte Criar associações de endpoints de firewall.
Visualizar um endpoint de firewall
É possível visualizar os detalhes de um endpoint de firewall específico.
Endpoints no nível da organização
Para conferir os detalhes de um endpoint de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.
A página Endpoints do firewall lista todos os endpoints de firewall configurados na organização.
Clique no nome do endpoint do firewall para ver os detalhes.
gcloud
Para conferir detalhes de um endpoint de firewall, use o comando gcloud network-security
firewall-endpoints describe:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Endpoints para envolvidos no projeto
Para conferir os detalhes de um endpoint de firewall no nível do projeto, use a CLI gcloud.
gcloud
Para conferir detalhes de um endpoint de firewall, use o comando gcloud beta network-security
firewall-endpoints describe:
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Listar endpoints de firewall
É possível listar todos os endpoints de firewall em uma organização ou um projeto.
Endpoints no nível da organização
Para listar todos os endpoints de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.
A página Endpoints do firewall lista todos os endpoints de firewall configurados.
gcloud
Para listar todos os endpoints de firewall, use o comando gcloud network-security
firewall-endpoints list:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Substitua:
ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado. Para listar endpoints em todas as zonas, use-.BILLING_PROJECT_ID: um ID de projetoGoogle Cloud opcional que vai receber a cobrança da cota pela operação. Isso é necessário apenas para endpoints de firewall no nível da organização.
Endpoints para envolvidos no projeto
Para listar todos os endpoints de firewall no nível do projeto, use a CLI gcloud.
gcloud
Para listar todos os endpoints de firewall, use o comando gcloud beta network-security
firewall-endpoints list:
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
Substitua:
PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado. Para listar endpoints em todas as zonas, use-.
Atualizar um endpoint de firewall
É possível gerenciar rótulos ou atualizar a descrição de um endpoint de firewall.
Endpoint no nível da organização
Para atualizar um endpoint de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud. Também é possível atualizar o projeto de faturamento de um endpoint de firewall em uma organização.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.
A página Endpoints do firewall lista todos os endpoints de firewall configurados.
Clique no nome do endpoint do firewall para ver os detalhes.
Clique em Editar.
Na lista Projeto de faturamento, selecione o projeto Google Cloud que você quer usar para o faturamento do endpoint do firewall.
Clique em Salvar.
gcloud
Para atualizar um endpoint de firewall, use o comando
gcloud network-security
firewall-endpoints update:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.BILLING_PROJECT_ID: o Google Cloud ID do projeto que você quer associar a esse endpoint de firewall para faturamento. Isso é necessário apenas para endpoints de firewall no nível da organização.
Para informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.
Endpoint para envolvidos no projeto
Para atualizar um endpoint de firewall para envolvidos no projeto, use a CLI gcloud. É possível gerenciar rótulos ou atualizar a descrição de um endpoint de firewall.
gcloud
Para atualizar um endpoint de firewall, use o comando
gcloud beta network-security
firewall-endpoints update:
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Para informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.
Excluir um endpoint de firewall
É possível excluir um endpoint de firewall especificando o nome, a zona e a organização ou o projeto dele.
Endpoints no nível da organização
Para excluir um endpoint de firewall no nível da organização, use o console doGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.
Selecione o endpoint do firewall e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Para excluir um endpoint de firewall, use o comando gcloud network-security
firewall-endpoints delete:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Endpoints para envolvidos no projeto
Para excluir um endpoint de firewall no nível do projeto, use a CLI gcloud.
gcloud
Para excluir um endpoint de firewall, use o comando gcloud network-security
firewall-endpoints delete:
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
A seguir
- Criar e gerenciar associações de endpoints de firewall
- Usar políticas e regras hierárquicas de firewall
- Usar políticas e regras globais de firewall de rede