Cette page explique comment gérer les associations de points de terminaison de pare-feu à l'aide de la Google Cloud console et de Google Cloud CLI.
Lorsque vous associez un point de terminaison de pare-feu à un ou plusieurs réseaux cloud privé virtuel (VPC), vous créez l'association dans la zone du point de terminaison de pare-feu. Vous pouvez associer un réseau VPC dans une zone à un point de terminaison de pare-feu au niveau du projet ou de l'organisation.
Lorsque vous configurez des associations de points de terminaison, respectez les exigences suivantes :
Dans une seule zone, vous ne pouvez associer un réseau VPC qu'à un seul point de terminaison de pare-feu (au niveau du projet (aperçu) ou de l'organisation). Toutefois, vous pouvez associer un réseau VPC à différents points de terminaison de pare-feu dans plusieurs zones.
Vous pouvez associer un réseau VPC à un point de terminaison de pare-feu dans un projet distinct. Cela s'applique aux points de terminaison au niveau du projet (aperçu) et de l'organisation. Si le point de terminaison au niveau du projet se trouve dans un projet distinct, ce projet doit résider dans la même organisation que votre réseau VPC.
Un point de terminaison de pare-feu compatible avec les trames géantes ne peut accepter que les paquets de 8 500 octets maximum. Un point de terminaison de pare-feu non compatible avec les trames géantes ne peut accepter que les paquets de 1 460 octets maximum. Si vous avez besoin d'un service de filtrage d'URL ou d'un service de détection et de prévention des intrusions, nous vous recommandons de configurer les réseaux VPC associés pour qu'ils utilisent les limites d'unité de transmission maximale (MTU) de 8 500 octets et de 1 460 octets. Pour en savoir plus, consultez la section Taille de paquet acceptée.
Pour vérifier la progression des opérations répertoriées sur cette page,
assurez-vous que votre rôle utilisateur dispose des autorisations
Utilisateur de réseau Compute
(roles/compute.networkUser) suivantes :
networksecurity.operations.getnetworksecurity.operations.list
Avant de commencer
Vous avez besoin d'un réseau VPC et d'un sous-réseau.
Vous devez activer l'API Compute Engine dans votre Google Cloud projet.
Vous devez activer l'API Network Security dans votre Google Cloud projet.
Vous devez activer l'API Certificate Authority Service dans votre Google Cloud projet.
Installez gcloud CLI si vous souhaitez exécuter les
gcloudexemples de ligne de commande de ce guide.Vous avez besoin d'un point de terminaison de pare-feu.
Rôles
Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des associations de points de terminaison de pare-feu, demandez à votre administrateur de vous accorder les rôles IAM requis sur votre organisation et votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Quotas
Pour afficher les quotas des associations de points de terminaison de pare-feu, consultez la page Quotas et limites.
Afficher une association de point de terminaison de pare-feu
Pour afficher les détails d'une association de point de terminaison de pare-feu au niveau de l'organisation ou d'une association de point de terminaison de pare-feu au niveau du projet, utilisez gcloud CLI.
gcloud
Pour afficher une association de point de terminaison de pare-feu, exécutez la gcloud network-security
firewall-endpoint-associations describe
commande.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Point de terminaison de pare-feu au niveau du projet
gcloud beta network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Remplacez les éléments suivants :
NAME: nom de l'association de point de terminaison de pare-feu.ZONE: zone de l'association de point de terminaison de pare-feu.PROJECT_ID: ID du Google Cloud projet dans lequel l' association est créée.
Répertorier toutes les associations de points de terminaison de pare-feu
Pour répertorier toutes les associations de points de terminaison de pare-feu au niveau de l'organisation, utilisez Google Cloud la console ou gcloud CLI. Pour répertorier toutes les associations de points de terminaison de pare-feu au niveau du projet, utilisez gcloud CLI.
Console
Dans la Google Cloud console, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre Google Cloud projet.
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées pour ce projet.
gcloud
Pour répertorier les associations de points de terminaison de pare-feu pour un réseau spécifique, exécutez la
gcloud network-security firewall-endpoint-associations list commande
avec l'option --filter.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Point de terminaison de pare-feu au niveau du projet
gcloud beta network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Remplacez les éléments suivants :
NETWORK_NAME: nom du réseau VPCPROJECT_ID: ID du Google Cloud projet dans lequel l'association de point de terminaison de pare-feu est créée.
Modifier une association de point de terminaison de pare-feu
Pour modifier une association de point de terminaison de pare-feu au niveau de l'organisation, utilisez Google Cloud la console ou gcloud CLI. Pour modifier une association de point de terminaison de pare-feu au niveau du projet, utilisez gcloud CLI.
Console
Dans la Google Cloud console, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre Google Cloud projet.
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées pour ce projet.
À côté de l'association de points de terminaison de pare-feu que vous souhaitez mettre à jour, cliquez sur Modifier.
Pour désactiver l'association de points de terminaison de pare-feu, décochez la case Activer l'association.
Pour mettre à jour la règle d'inspection TLS, sélectionnez une nouvelle règle dans la liste Règle d'inspection TLS.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour une association de points de terminaison de pare-feu, exécutez la
gcloud network-security firewall-endpoint-associations update commande.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Point de terminaison de pare-feu au niveau du projet
gcloud beta network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Remplacez les éléments suivants :
NAME: nom de l'association de point de terminaison de pare-feu.ZONE: zone de l'association de point de terminaison de pare-feu.PROJECT_ID: ID du Google Cloud projet dans lequel l' association est créée.TLS_PROJECT_NAME: nom du projet de la règle d'inspection TLS. Google CloudREGION_NAME: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME: nom de la règle d'inspection TLS.
Supprimer une association de point de terminaison de pare-feu
Pour supprimer une association de point de terminaison de pare-feu au niveau de l'organisation, utilisez Google Cloud la console ou gcloud CLI. Pour supprimer une association de point de terminaison de pare-feu au niveau du projet, utilisez gcloud CLI.
Lorsqu'un Google Cloud projet est supprimé, les associations de points de terminaison de pare-feu associées sont automatiquement supprimées. Cette suppression est irréversible, même si le projet est restauré ultérieurement.
Toutefois, le processus de suppression de ces associations peut parfois échouer.
Si cela se produit et que le projet est restauré, les points de terminaison de pare-feu associés s'affichent à l'état ORPHAN dans le projet restauré. Cela indique le lien rompu entre le projet et ses ressources en raison de l'échec de la suppression.
Vous pouvez afficher ces associations orphelines dans la Google Cloud console, mais vous ne pouvez pas les modifier. Cloud Next Generation Firewall exécute régulièrement un processus en arrière-plan qui supprime ces ressources orphelines.
Console
Dans la Google Cloud console, accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre Google Cloud projet.
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées pour ce projet.
Sélectionnez l'association de points de terminaison de pare-feu, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer une association de points de terminaison de pare-feu, exécutez la gcloud network-security
firewall-endpoint-associations delete
commande.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Point de terminaison de pare-feu au niveau du projet
gcloud beta network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Remplacez les éléments suivants :
NAME: nom de l'association de point de terminaison de pare-feu.ZONE: zone de l'association de point de terminaison de pare-feu.PROJECT_ID: ID du Google Cloud projet dans lequel l' association est créée.
Étape suivante
- Créer des associations de points de terminaison de pare-feu
- Utiliser des stratégies et des règles de pare-feu hiérarchiques
- Utiliser des stratégies et des règles de pare-feu de réseau globales