Auf dieser Seite wird erläutert, wie Sie Firewall-Endpunktzuordnungen mit der Google Cloud -Konsole und der Google Cloud CLI verwalten.
Wenn Sie einen Firewall-Endpunkt mit einem oder mehreren Virtual Private Cloud-Netzwerken (VPC) verknüpfen, erstellen Sie die Verknüpfung in der Zone, in der sich auch der Firewall-Endpunkt befindet. Sie können ein VPC-Netzwerk in einer Zone mit einem Firewall-Endpunkt auf Projekt- oder Organisationsebene verknüpfen.
Beachten Sie bei der Konfiguration von Endpunktzuordnungen die folgenden Anforderungen:
In einer einzelnen Zone können Sie ein VPC-Netzwerk nur mit einem Firewall-Endpunkt verknüpfen (entweder auf Projektebene (Vorschau) oder auf Organisationsebene). Sie können jedoch ein VPC-Netzwerk mit verschiedenen Firewall-Endpunkten in mehreren Zonen verknüpfen.
Sie können ein VPC-Netzwerk mit einem Firewall-Endpunkt in einem separaten Projekt verknüpfen. Dies gilt sowohl für Endpunkte auf Projektebene (Vorschau) als auch auf Organisationsebene. Wenn sich der Endpunkt auf Projektebene in einem separaten Projekt befindet, muss sich dieses Projekt in derselben Organisation wie Ihr VPC-Netzwerk befinden.
Ein Firewallendpunkt mit Unterstützung für Jumbo-Frames kann nur Pakete mit einer Größe von bis zu 8.500 Bytes akzeptieren. Alternativ kann ein Firewallendpunkt ohne Jumbo-Frame-Unterstützung nur Pakete mit einer Größe von bis zu 1.460 Bytes akzeptieren. Wenn Sie einen URL-Filterdienst oder einen Dienst zur Einbruchserkennung und -verhinderung benötigen, empfehlen wir, die zugehörigen VPC-Netzwerke so zu konfigurieren, dass die Grenzwerte für die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) von 8.500 Byte und 1.460 Byte verwendet werden. Weitere Informationen finden Sie unter Unterstützte Paketgröße.
Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre Nutzerrolle die folgenden Berechtigungen der Rolle Compute-Netzwerknutzer (roles/compute.networkUser) haben:
networksecurity.operations.getnetworksecurity.operations.list
Hinweis
Sie benötigen ein VPC-Netzwerk und ein Subnetz.
Sie müssen in Ihrem Google Cloud Projekt die Compute Engine API aktivieren.
Sie müssen die Network Security API in Ihrem Google Cloud Projekt aktivieren.
Sie müssen in Ihrem Google Cloud Projekt die Certificate Authority Service API aktivieren.
Installieren Sie die gcloud CLI, wenn Sie die
gcloud-Befehlszeilenbeispiele in dieser Anleitung ausführen möchten.Sie benötigen einen Firewall-Endpunkt.
Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Firewall-Endpunktverknüpfungen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Kontingente
Informationen zu Kontingenten für Firewall-Endpunktverknüpfungen finden Sie unter Kontingente und Limits.
Firewall-Endpunktverknüpfung aufrufen
Wenn Sie Details zu einer Firewall-Endpunktverknüpfung auf Organisationsebene oder auf Projektebene aufrufen möchten, verwenden Sie die gcloud CLI.
gcloud
Verwenden Sie den gcloud network-security
firewall-endpoint-associations describe-Befehl, um eine Firewall-Endpunktverknüpfung aufzurufen.
Firewall-Endpunkt auf Organisationsebene
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Firewall-Endpunkt auf Projektebene
gcloud beta network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Ersetzen Sie Folgendes:
NAME: der Name der Firewall-Endpunktverknüpfung.ZONE: die Zone der Firewall-Endpunktverknüpfung.PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird.
Alle Firewall-Endpunktverknüpfungen auflisten
Verwenden Sie dieGoogle Cloud console oder die gcloud CLI, um alle Firewall-Endpunktverknüpfungen auf Organisationsebene aufzulisten. Verwenden Sie die gcloud CLI, um alle Firewall-Endpunktverknüpfungen auf Projektebene aufzulisten.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud -Projekt aus.
Im Abschnitt Firewall-Endpunktverknüpfungen listet eine Tabelle alle konfigurierten Firewall-Endpunktverknüpfungen für dieses Projekt auf.
gcloud
Verwenden Sie den gcloud network-security firewall-endpoint-associations list-Befehl mit dem --filter-Flag, um Firewall-Endpunktverknüpfungen für ein bestimmtes Netzwerk aufzulisten.
Firewall-Endpunkt auf Organisationsebene
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Firewall-Endpunkt auf Projektebene
gcloud beta network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Ersetzen Sie Folgendes:
NETWORK_NAME: der Name des VPC-NetzwerksPROJECT_ID: die Google Cloud Projekt-ID, in der die Firewall-Endpunktverknüpfung erstellt wird.
Firewall-Endpunktverknüpfung bearbeiten
Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Organisationsebene zu bearbeiten. Verwenden Sie die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Projektebene zu bearbeiten.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud -Projekt aus.
Im Abschnitt Firewall-Endpunktverknüpfungen listet eine Tabelle alle konfigurierten Firewall-Endpunktverknüpfungen für dieses Projekt auf.
Klicken Sie neben der Firewall-Endpunktzuordnung, die Sie aktualisieren möchten, auf Bearbeiten.
Wenn Sie die Firewall-Endpunktverknüpfung deaktivieren möchten, entfernen Sie das Häkchen aus dem Kästchen Verknüpfung aktivieren.
Wählen Sie zum Aktualisieren der TLS-Prüfungsrichtlinie eine neue Richtlinie aus der Liste der TLS-Prüfungsrichtlinien aus.
Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Aktualisieren einer Firewall-Endpunktverknüpfung den gcloud network-security firewall-endpoint-associations update-Befehl.
Firewall-Endpunkt auf Organisationsebene
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Firewall-Endpunkt auf Projektebene
gcloud beta network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Ersetzen Sie Folgendes:
NAME: der Name der Firewall-Endpunktverknüpfung.ZONE: die Zone der Firewall-Endpunktverknüpfung.PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird.TLS_PROJECT_NAME: der Google Cloud Projektname der TLS-Prüfungsrichtlinie.REGION_NAME: der Name der Region der TLS-PrüfungsrichtlinieTLS_POLICY_NAME: der Name der TLS-Prüfungsrichtlinie
Firewall-Endpunktverknüpfung löschen
Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Organisationsebene zu löschen. Verwenden Sie die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Projektebene zu löschen.
Wenn ein Google Cloud -Projekt gelöscht wird, werden die zugehörigen Firewall-Endpunktzuordnungen automatisch entfernt. Das Löschen kann nicht rückgängig gemacht werden, auch wenn das Projekt später wiederhergestellt wird.
Das Löschen dieser Verknüpfungen kann jedoch manchmal fehlschlagen.
In diesem Fall und nach der Wiederherstellung des Projekts haben die zugehörigen Firewallendpunkte im wiederhergestellten Projekt den Status ORPHAN. Dies weist auf die unterbrochene Verknüpfung zwischen dem Projekt und seinen Ressourcen aufgrund des fehlgeschlagenen Löschvorgangs hin.
Sie können sich diese verwaisten Verknüpfungen in der Google Cloud Console ansehen, sie jedoch nicht bearbeiten. Die Cloud Next Generation Firewall führt regelmäßig einen Hintergrundprozess aus, mit dem diese verwaisten Ressourcen gelöscht werden.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud -Projekt aus.
Im Abschnitt Firewall-Endpunktverknüpfungen listet eine Tabelle alle konfigurierten Firewall-Endpunktverknüpfungen für dieses Projekt auf.
Wählen Sie die Firewall-Endpunktverknüpfung aus und klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie zum Löschen einer Firewall-Endpunktverknüpfung den gcloud network-security
firewall-endpoint-associations delete-Befehl.
Firewall-Endpunkt auf Organisationsebene
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Firewall-Endpunkt auf Projektebene
gcloud beta network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Ersetzen Sie Folgendes:
NAME: der Name der Firewall-Endpunktverknüpfung.ZONE: die Zone der Firewall-Endpunktverknüpfung.PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird.
Nächste Schritte
- Firewall-Endpunktverknüpfungen erstellen
- Hierarchische Firewallrichtlinien und -regeln verwenden
- Globale Netzwerkrichtlinien und -regeln verwenden