Questa pagina spiega come gestire le associazioni di endpoint firewall utilizzando la Google Cloud console e Google Cloud CLI.
Quando associ un endpoint firewall a una o più reti Virtual Private Cloud (VPC), crei l'associazione nella stessa zona dell'endpoint firewall. Puoi associare una rete VPC in una zona a un endpoint firewall a livello di progetto o di organizzazione.
Quando configuri le associazioni di endpoint, rispetta i seguenti requisiti:
In una singola zona, puoi associare una rete VPC a un solo endpoint firewall (a livello di progetto (anteprima) o di organizzazione). Tuttavia, puoi associare una rete VPC a endpoint firewall diversi in più zone.
Puoi associare una rete VPC a un endpoint firewall in un progetto separato. Questo vale sia per gli endpoint a livello di progetto (anteprima) sia per quelli a livello di organizzazione. Se l'endpoint a livello di progetto si trova in un progetto separato, quest'ultimo deve risiedere nella stessa organizzazione della rete VPC.
Un endpoint firewall con supporto per i frame jumbo può accettare pacchetti fino a 8500 byte. In alternativa, un endpoint firewall senza supporto per i frame jumbo può accettare pacchetti fino a 1460 byte. Se hai bisogno del servizio di filtro URL o del servizio di rilevamento e prevenzione delle intrusioni, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità di trasmissione massima (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, consulta la sezione Dimensioni dei pacchetti supportate.
Per controllare l'avanzamento delle operazioni elencate in questa pagina,
assicurati che il tuo ruolo utente disponga delle seguenti
autorizzazioni Utente di rete Compute
(roles/compute.networkUser):
networksecurity.operations.getnetworksecurity.operations.list
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo Google Cloud progetto.
Devi abilitare l'API Network Security nel tuo Google Cloud progetto.
Devi abilitare l'API Certificate Authority Service nel tuo Google Cloud progetto.
Installa la gcloud CLI se vuoi eseguire gli esempi di riga di comando
gcloudin questa guida.Devi avere un endpoint firewall.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare le associazioni di endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione e nel tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso.
Quote
Per visualizzare le quote per le associazioni di endpoint firewall, consulta Quote e limiti.
Visualizzare un'associazione di endpoint firewall
Per visualizzare i dettagli di un'associazione di endpoint firewall a livello di organizzazione o di un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.
gcloud
Per visualizzare un'associazione di endpoint firewall, utilizza il gcloud network-security
firewall-endpoint-associations describe
comando.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Sostituisci quanto segue:
NAME: il nome dell'associazione di endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l' Google Cloud ID progetto in cui viene creata l'associazione.
Elencare tutte le associazioni di endpoint firewall
Per elencare tutte le associazioni di endpoint firewall a livello di organizzazione, utilizza Google Cloud la console o gcloud CLI. Per elencare tutte le associazioni di endpoint firewall a livello di progetto, utilizza gcloud CLI.
Console
Nella Google Cloud console, vai alla pagina Endpoint firewall.
Nel menu del selettore di progetto, seleziona il tuo Google Cloud progetto.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
gcloud
Per elencare le associazioni di endpoint firewall per una rete specifica, utilizza il
gcloud network-security firewall-endpoint-associations list comando
con il --filter flag.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC.PROJECT_ID: l'ID progetto in cui viene creata l'associazione di endpoint firewall. Google Cloud
Modificare un'associazione di endpoint firewall
Per modificare un'associazione di endpoint firewall a livello di organizzazione, utilizza Google Cloud la console o gcloud CLI. Per modificare un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.
Console
Nella Google Cloud console, vai alla pagina Endpoint firewall.
Nel menu del selettore di progetto, seleziona il tuo Google Cloud progetto.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Accanto all'associazione di endpoint firewall che vuoi aggiornare, fai clic su Modifica.
Per disattivare l'associazione di endpoint firewall, deseleziona la casella di controllo Abilita associazione.
Per aggiornare la policy di ispezione TLS, seleziona una nuova policy dall'elenco Policy di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza il
gcloud network-security firewall-endpoint-associations update comando.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Sostituisci quanto segue:
NAME: il nome dell'associazione di endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l' Google Cloud ID progetto in cui viene creata l'associazione.TLS_PROJECT_NAME: il Google Cloud nome del progetto della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.
Eliminare un'associazione di endpoint firewall
Per eliminare un'associazione di endpoint firewall a livello di organizzazione, utilizza Google Cloud la console o gcloud CLI. Per eliminare un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.
Quando un Google Cloud progetto viene eliminato, le associazioni di endpoint firewall associate vengono rimosse automaticamente. Questa eliminazione è irreversibile, anche se il progetto viene ripristinato in un secondo momento.
Tuttavia, a volte il processo di eliminazione di queste associazioni potrebbe non riuscire.
In questo caso, se il progetto viene ripristinato, gli endpoint firewall associati vengono visualizzati nello stato ORPHAN all'interno del progetto ripristinato. Ciò indica il link inaccessibile tra il progetto e le relative risorse a causa dell'eliminazione non riuscita.
Puoi visualizzare queste associazioni orfane nella Google Cloud console, ma non puoi modificarle. Cloud Next Generation Firewall esegue periodicamente un processo in background che elimina queste risorse orfane.
Console
Nella Google Cloud console, vai alla pagina Endpoint firewall.
Nel menu del selettore di progetto, seleziona il tuo Google Cloud progetto.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Seleziona l'associazione di endpoint firewall e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il gcloud network-security
firewall-endpoint-associations delete
comando.
Endpoint firewall a livello di organizzazione
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Endpoint firewall a livello di progetto
gcloud beta network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione di endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l' Google Cloud ID progetto in cui viene creata l'associazione.
Passaggi successivi
- Creare associazioni di endpoint firewall
- Utilizzare criteri e regole firewall gerarchici
- Utilizzare criteri e regole firewall di rete globali