本页面介绍如何使用Google Cloud 控制台和 Google Cloud CLI 配置和管理防火墙端点,并将其与 Virtual Private Cloud (VPC) 网络相关联。
您可以在可用区级层创建防火墙端点,然后将其与同一可用区中的一个或多个 VPC 网络关联。如果您在与 VPC 网络关联的防火墙政策中启用了第 7 层检查,匹配的流量将被透明地拦截并转发到防火墙端点。
您可以创建支持或不支持巨型帧的防火墙端点。如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
准备工作
您必须在 Google Cloud 项目中启用 Compute Engine API。
您必须在要用于结算的 Google Cloud 项目中启用 Network Security API。
您必须在 Google Cloud 项目中启用 Certificate Authority Service API。
如果您要运行本指南中的
gcloud命令行示例,请安装 gcloud CLI。
角色
如需获得创建、查看、更新或删除防火墙端点所需的权限,请让您的管理员向您授予组织或项目的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
配额
如需查看防火墙端点和关联的配额,请参阅配额和限制。
创建防火墙端点
在特定可用区中创建防火墙端点。
组织级端点
您可以在组织级层创建防火墙端点。这些端点仅支持组织级安全配置文件组。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
在项目选择器菜单中,选择您的组织。
点击创建。
在区域列表中,选择要创建防火墙端点的区域。
在可用区列表中,选择要创建防火墙端点的可用区。
在名称字段中输入名称。
在结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目。
点击继续。
如果您希望端点支持巨型帧,请选中启用巨型帧支持复选框;否则,请清除此复选框。
点击继续。
如果您想添加防火墙端点关联,请点击添加端点关联;否则,请跳过此步骤。
- 在项目列表中,选择要创建防火墙端点关联的 Google Cloud 项目。
- 如果未为 Google Cloud 项目启用 Compute Engine API 或 Network Security API,请点击启用。
- 在网络列表中,选择要与防火墙端点关联的网络。
- 在 TLS 检查政策列表中,选择要添加到此关联的 TLS 检查政策。
- 如需添加其他关联,请点击添加端点关联。
点击创建。
gcloud
如需创建防火墙端点,请使用 gcloud network-security
firewall-endpoints create 命令:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。BILLING_PROJECT_ID:用于防火墙端点结算的 Google Cloud 项目 ID。
如需创建支持大小不超过 8,500 字节的巨型帧的防火墙端点,请使用可选的 --enable-jumbo-frames 标志。跳过此标志可创建不支持巨型帧的端点。如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
如需将防火墙端点与 VPC 网络关联,请参阅创建防火墙端点关联。
Terraform
使用 google_network_security_firewall_endpoint Terraform 资源。
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
如需创建支持大小不超过 8,500 字节的巨型帧的防火墙端点,请将 enable_jumbo_frames 字段设置为 True。如需创建不支持巨型帧的防火墙端点,请将此字段设置为 False。如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令。
项目级端点
您可以在项目级层创建防火墙端点。这些端点同时支持组织级和项目级安全配置文件组。
gcloud
如需创建防火墙端点,请使用 gcloud beta network-security
firewall-endpoints create 命令:
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
替换以下内容:
NAME:防火墙端点的名称。PROJECT_ID:激活端点的项目。ZONE:激活端点的可用区。
如需创建支持大小不超过 8,500 字节的巨型帧的防火墙端点,请使用可选的 --enable-jumbo-frames 标志。跳过此标志可创建不支持巨型帧的端点。如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
如需将防火墙端点与 VPC 网络关联,请参阅创建防火墙端点关联。
查看防火墙端点
您可以查看特定防火墙端点的详细信息。
组织级端点
如需查看组织级层防火墙端点的详细信息,请使用Google Cloud 控制台或 gcloud CLI。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
在项目选择器菜单中,选择已激活端点的组织。
防火墙端点页面会列出组织中所有已配置的防火墙端点。
点击防火墙端点的名称以查看其详细信息。
gcloud
如需查看防火墙端点的详细信息,请使用 gcloud network-security
firewall-endpoints describe 命令:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。
项目级端点
如需查看项目级防火墙端点的详细信息,请使用 gcloud CLI。
gcloud
如需查看防火墙端点的详细信息,请使用 gcloud beta network-security
firewall-endpoints describe 命令:
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
替换以下内容:
NAME:防火墙端点的名称。PROJECT_ID:激活端点的项目。ZONE:激活端点的可用区。
列出防火墙端点
您可以列出组织或项目中的所有防火墙端点。
组织级端点
如需列出所有组织级防火墙端点,请使用Google Cloud 控制台或 gcloud CLI。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
在项目选择器菜单中,选择已激活端点的组织。
防火墙端点页面会列出所有已配置的防火墙端点。
gcloud
如需列出所有防火墙端点,请使用 gcloud network-security
firewall-endpoints list 命令:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
替换以下内容:
ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。 如需列出所有可用区中的端点,请使用-。BILLING_PROJECT_ID:用于对操作配额计费的可选Google Cloud 项目 ID。仅当防火墙端点位于组织级层时,才需要提供此信息。
项目级端点
如需列出所有项目级防火墙端点,请使用 gcloud CLI。
gcloud
如需列出所有防火墙端点,请使用 gcloud beta network-security
firewall-endpoints list 命令:
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
替换以下内容:
PROJECT_ID:激活端点的项目。ZONE:激活端点的可用区。 如需列出所有可用区中的端点,请使用-。
更新防火墙端点
您可以管理防火墙端点的标签或更新其说明。
组织级端点
如需更新组织级防火墙端点,请使用Google Cloud 控制台或 gcloud CLI。您还可以更新组织中防火墙端点的结算项目。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
在项目选择器菜单中,选择已激活端点的组织。
防火墙端点页面会列出所有已配置的防火墙端点。
点击防火墙端点的名称以查看其详细信息。
点击修改。
在结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目。
点击保存。
gcloud
如需更新防火墙端点,请使用 gcloud network-security
firewall-endpoints update 命令:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。BILLING_PROJECT_ID:要与此防火墙端点关联以进行结算的 Google Cloud 项目 ID。仅当防火墙端点位于组织级层时,才需要提供此信息。
如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
项目级端点
如需更新项目级防火墙端点,请使用 gcloud CLI。您可以管理防火墙端点的标签或更新其说明。
gcloud
如需更新防火墙端点,请使用 gcloud beta network-security
firewall-endpoints update 命令:
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
替换以下内容:
NAME:防火墙端点的名称。PROJECT_ID:激活端点的项目。ZONE:激活端点的可用区。
如需了解防火墙端点支持的数据包大小,请参阅支持的数据包大小。
删除防火墙端点
您可以通过指定防火墙端点的名称、可用区和组织或项目来删除它。
组织级端点
如需删除组织级防火墙端点,请使用Google Cloud 控制台或 gcloud CLI。
控制台
在 Google Cloud 控制台中,前往防火墙端点页面。
在项目选择器菜单中,选择已激活端点的组织。
选择防火墙端点,然后点击删除。
再次点击删除进行确认。
gcloud
如需删除防火墙端点,请使用 gcloud network-security
firewall-endpoints delete 命令:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
替换以下内容:
NAME:防火墙端点的名称。ORGANIZATION_ID:激活端点的组织。ZONE:激活端点的可用区。
项目级端点
如需删除项目级防火墙端点,请使用 gcloud CLI。
gcloud
如需删除防火墙端点,请使用 gcloud network-security
firewall-endpoints delete 命令:
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
替换以下内容:
NAME:防火墙端点的名称。PROJECT_ID:激活端点的项目。ZONE:激活端点的可用区。