创建和管理防火墙端点

本页面介绍如何使用Google Cloud 控制台和 Google Cloud CLI 配置和管理防火墙端点,并将其与 Virtual Private Cloud (VPC) 网络相关联。

您可以在可用区级层创建防火墙端点,然后将其与同一可用区中的一个或多个 VPC 网络关联。如果您在与 VPC 网络关联的防火墙政策中启用了第 7 层检查,匹配的流量将被透明地拦截并转发到防火墙端点。

准备工作

角色

如需获得创建、查看、更新或删除防火墙端点所需的权限,请让您的管理员向您授予组织的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限

配额

如需查看防火墙端点和关联的配额,请参阅配额和限制

创建防火墙端点

在特定可用区中创建防火墙端点。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击创建

  4. 区域列表中,选择要创建防火墙端点的区域。

  5. 可用区列表中,选择要创建防火墙端点的可用区。

  6. 名称字段中输入名称。

  7. 结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目。

  8. 点击继续

  9. 如果您想添加防火墙端点关联,请点击添加端点关联;否则,请跳过此步骤。

    1. 项目列表中,选择要创建防火墙端点关联的 Google Cloud 项目。
    2. 如果 Google Cloud 项目未启用 Compute Engine API 或 Network Security API,请点击启用
    3. 网络列表中,选择要与防火墙端点关联的网络。
    4. TLS 检查政策列表中,选择要添加到此关联的 TLS 检查政策。
    5. 如需添加其他关联,请点击添加端点关联

  10. 点击创建

gcloud

如需创建防火墙端点,请使用 gcloud network-security firewall-endpoints create 命令

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

替换以下内容:

  • NAME:防火墙端点的名称。

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。

  • BILLING_PROJECT_ID:用于防火墙端点结算的 Google Cloud 项目 ID。

如需将防火墙端点与 VPC 网络关联,请参阅创建防火墙端点关联

查看防火墙端点

您可以查看特定防火墙端点的详细信息。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

    防火墙端点页面会列出组织中所有已配置的防火墙端点。

  3. 点击防火墙端点的名称以查看其详细信息。

gcloud

如需查看防火墙端点的详细信息,请使用 gcloud network-security firewall-endpoints describe 命令

gcloud network-security firewall-endpoints \
    describe NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE

替换以下内容:

  • NAME:防火墙端点的名称。

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。

列出防火墙端点

您可以列出组织中的所有防火墙端点。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙端点页面。

    进入“防火墙端点”

  2. 防火墙端点页面会列出组织中所有已配置的防火墙端点。

gcloud

如需列出所有防火墙端点,请使用 gcloud network-security firewall-endpoints list 命令

gcloud network-security firewall-endpoints list \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

替换以下内容:

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。 如需列出所有可用区中的端点,请使用 -

  • BILLING_PROJECT_ID:用于对操作配额计费的可选Google Cloud 项目 ID。

修改防火墙端点

您可以更新组织中防火墙端点的结算项目。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

    防火墙端点页面会列出组织中所有已配置的防火墙端点。

  3. 点击防火墙端点的名称以查看其详细信息。

  4. 点击修改

  5. 结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目。

  6. 点击保存

gcloud

如需修改防火墙端点,请使用 gcloud network-security firewall-endpoints edit 命令

gcloud network-security firewall-endpoints \
    update NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

替换以下内容:

  • NAME:防火墙端点的名称。

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。

  • BILLING_PROJECT_ID:要与此防火墙端点关联以进行结算的 Google Cloud 项目 ID。

删除防火墙端点

您可以通过指定防火墙端点的名称、可用区和组织来删除它。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙端点页面。

    进入“防火墙端点”

  2. 选择防火墙端点,然后点击删除

  3. 再次点击删除进行确认。

gcloud

如需删除防火墙端点,请使用 gcloud network-security firewall-endpoints delete 命令

gcloud network-security firewall-endpoints delete NAME
    --organization ORGANIZATION_ID \
    --zone ZONE

替换以下内容:

  • NAME:防火墙端点的名称。

  • ORGANIZATION_ID:激活端点的组织。

  • ZONE:激活端点的可用区。

后续步骤