本頁面說明如何使用Google Cloud 控制台和 Google Cloud CLI,設定及管理防火牆端點,並將其與虛擬私有雲 (VPC) 網路建立關聯。
您可以在可用區層級建立防火牆端點,然後將其與相同可用區中的一或多個虛擬私有雲網路建立關聯。如果您已在與虛擬私有雲網路相關聯的防火牆政策中啟用第 7 層檢查,系統會以透明方式攔截相符的流量,並轉送至防火牆端點。
您可以建立支援或不支援巨型封包的防火牆端點。如要瞭解防火牆端點支援的封包大小,請參閱「支援的封包大小」。
事前準備
您必須在 Google Cloud 專案中啟用 Compute Engine API。
您必須在要用於帳單的 Google Cloud 專案中啟用 Network Security API。
您必須在 Google Cloud 專案中啟用 Certificate Authority Service API。
如要執行本指南中的
gcloud指令列範例,請安裝 gcloud CLI。
角色
如要取得建立、查看、更新或刪除防火牆端點所需的權限,請要求管理員在您的組織中授予必要的 IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理存取權」。
配額
如要查看防火牆端點和關聯的配額,請參閱「配額與限制」。
建立防火牆端點
在特定可用區中建立防火牆端點。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
點選「建立」。
在「Region」(區域) 清單中,選取要建立防火牆端點的區域。
在「Zone」(可用區) 清單中,選取要建立防火牆端點的可用區。
在「名稱」欄位中輸入名稱。
在「帳單專案」清單中,選取要用於防火牆端點帳單的 Google Cloud 專案。
按一下「繼續」。
如要讓端點支援巨型封包,請勾選「啟用巨型封包支援功能」核取方塊;否則請取消勾選這個核取方塊。
按一下「繼續」。
如要新增防火牆端點關聯,請按一下「新增端點關聯」,否則請略過這個步驟。
- 在「Project」(專案) 清單中,選取要建立防火牆端點關聯的專案 Google Cloud 。
- 如果 Google Cloud 專案未啟用 Compute Engine API 或 Network Security API,請按一下「啟用」。
- 在「Network」(網路) 清單中,選取要與防火牆端點建立關聯的網路。
- 在「TLS 檢查政策」清單中,選取要新增至這個關聯的 TLS 檢查政策。
- 如要新增其他關聯,請按一下「新增端點關聯」。
點選「建立」。
gcloud
如要建立防火牆端點,請使用 gcloud network-security
firewall-endpoints create 指令:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。BILLING_PROJECT_ID:用於防火牆端點帳單的 Google Cloud 專案 ID。
如要建立支援巨型封包 (大小上限為 8,500 個位元組) 的防火牆端點,請使用選用的 --enable-jumbo-frames 標記。略過這個旗標,即可建立不支援巨型封包的端點。如要瞭解防火牆端點支援的封包大小,請參閱「支援的封包大小」。
如要將防火牆端點與虛擬私有雲網路建立關聯,請參閱建立防火牆端點關聯。
Terraform
使用 google_network_security_firewall_endpoint Terraform 資源。
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
如要建立支援巨型封包 (大小上限為 8,500 個位元組) 的防火牆端點,請將 enable_jumbo_frames 欄位設為 True。如要建立不支援巨型封包的防火牆端點,請將這個欄位設為 False。如要瞭解防火牆端點支援的封包大小,請參閱「支援的封包大小」。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
查看防火牆端點
您可以查看特定防火牆端點的詳細資料。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
「防火牆端點」頁面會列出機構中所有已設定的防火牆端點。
按一下防火牆端點名稱,即可查看詳細資料。
gcloud
如要查看防火牆端點的詳細資料,請使用 gcloud network-security
firewall-endpoints describe 指令:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。
列出防火牆端點
您可以列出機構中的所有防火牆端點。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
「防火牆端點」頁面會列出機構中所有已設定的防火牆端點。
gcloud
如要列出所有防火牆端點,請使用 gcloud network-security
firewall-endpoints list 指令:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
更改下列內容:
ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。如要列出所有區域的端點,請使用-。BILLING_PROJECT_ID:選用的Google Cloud 專案 ID,作業配額會向這個專案收費。
編輯防火牆端點
您可以更新機構中防火牆端點的帳單專案。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
「防火牆端點」頁面會列出機構中所有已設定的防火牆端點。
按一下防火牆端點名稱,即可查看詳細資料。
按一下 [編輯]。
在「帳單專案」清單中,選取要用於防火牆端點帳單的 Google Cloud 專案。
按一下 [儲存]。
gcloud
如要編輯防火牆端點,請使用 gcloud network-security
firewall-endpoints edit 指令:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。BILLING_PROJECT_ID:您要與這個防火牆端點建立關聯的 Google Cloud 專案 ID,用於帳單。
如要瞭解防火牆端點支援的封包大小,請參閱「支援的封包大小」。
刪除防火牆端點
您可以指定防火牆端點的名稱、區域和機構,藉此刪除防火牆端點。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
選取防火牆端點,然後按一下「Delete」(刪除)。
再按一下 [刪除] 加以確認。
gcloud
如要刪除防火牆端點,請使用 gcloud network-security
firewall-endpoints delete 指令:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。