このページでは、 コンソールと Google Cloud CLI を使用して、ファイアウォール エンドポイント の関連付けを管理する方法について説明します。 Google Cloud
ファイアウォール エンドポイントを 1 つ以上の Virtual Private Cloud(VPC)ネットワークに関連付ける場合、ファイアウォール エンドポイントと同じゾーンに関連付けを作成します。ゾーン内の VPC ネットワークをプロジェクト レベルまたは組織レベルのファイアウォール エンドポイントに関連付けることができます。
エンドポイントの関連付けを構成する場合は、次の要件に従ってください。
単一のゾーンでは、VPC ネットワークを 1 つのファイアウォール エンドポイント(プロジェクト レベル(プレビュー)または組織レベル)にのみ関連付けることができます。ただし、複数のゾーンにまたがる異なるファイアウォール エンドポイントに 1 つの VPC ネットワークを関連付けることができます。
VPC ネットワークを別のプロジェクトのファイアウォール エンドポイントに関連付けることができます。これは、プロジェクト レベル(プレビュー)と組織レベル の両方のエンドポイントに適用されます。プロジェクト レベルのエンドポイントが別のプロジェクトにある場合、そのプロジェクトは VPC ネットワークと同じ組織に存在する必要があります。
ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットのみを受け入れることができます。ジャンボ フレームをサポートしないファイアウォール エンドポイントは、最大 1,460 バイトのパケットのみを受け入れることができます。URL フィルタリング サービスまたは侵入検知と防止サービスが必要な場合は、関連する VPC ネットワークを構成して、最大伝送単位(MTU)の上限を 8,500 バイトと 1,460 バイトにすることをおすすめします。詳細については、 サポートされているパケットサイズをご覧ください。
このページに記載されているオペレーションの進行状況を確認するには、
ユーザー ロールに次の
Compute ネットワーク ユーザー
(roles/compute.networkUser)の権限が付与されていることを確認してください。
networksecurity.operations.getnetworksecurity.operations.list
始める前に
プロジェクトで Compute Engine API を 有効にする必要があります。 Google Cloud
プロジェクトで Network Security API を有効 にする必要があります。 Google Cloud
プロジェクトで Certificate Authority Service API を有効にする必要があります。 Google Cloud
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。ファイアウォール エンドポイントが必要です。
ロール
ファイアウォール エンドポイントの関連付けの作成、表示、更新、削除を行うために必要な権限を取得するには、組織とプロジェクトに必要な IAM ロールを付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。
割り当て
ファイアウォール エンドポイントの関連付けの割り当てについては、割り当てと上限をご覧ください。
ファイアウォール エンドポイントの関連付けを表示する
組織レベルのファイアウォール エンドポイントの関連付けまたはプロジェクト レベルのファイアウォール エンドポイントの関連付けの詳細を表示するには、gcloud CLI を使用します。
gcloud
ファイアウォール エンドポイントの関連付けを表示するには、gcloud network-security
firewall-endpoint-associations describe
コマンドを使用します。
組織レベルのファイアウォール エンドポイント
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
プロジェクト レベルのファイアウォール エンドポイント
gcloud beta network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
次のように置き換えます。
NAME: ファイアウォール エンドポイントの関連付けの名前。ZONE: ファイアウォール エンドポイントの関連付けのゾーン。PROJECT_ID: 関連付けが作成されるプロジェクト ID。 Google Cloud
すべてのファイアウォール エンドポイントの関連付けを一覧表示する
組織レベルのファイアウォール エンドポイントの関連付けをすべて一覧表示するには、 Google Cloud コンソールまたは gcloud CLI を使用します。プロジェクト レベルのファイアウォール エンドポイントの関連付けをすべて一覧表示するには、gcloud CLI を使用します。
コンソール
コンソールで、[**ファイアウォール エンドポイント**] ページに移動します。 Google Cloud
プロジェクト選択メニューで、プロジェクトを選択します。 Google Cloud
[ファイアウォール エンドポイントの関連付け] セクションの表に、このプロジェクトに構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。
gcloud
特定のネットワークのファイアウォール エンドポイントの関連付けを一覧表示するには、
gcloud network-security firewall-endpoint-associations list コマンド
を --filter フラグとともに使用します。
組織レベルのファイアウォール エンドポイント
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
プロジェクト レベルのファイアウォール エンドポイント
gcloud beta network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
次のように置き換えます。
NETWORK_NAME: VPC ネットワークの名前。PROJECT_ID: ファイアウォール エンドポイントの関連付けが作成される Google Cloud プロジェクト ID。
ファイアウォール エンドポイントの関連付けを編集する
組織レベルのファイアウォール エンドポイントの関連付けを編集するには、 Google Cloud コンソールまたは gcloud CLI を使用します。プロジェクト レベルのファイアウォール エンドポイントの関連付けを編集するには、gcloud CLI を使用します。
コンソール
コンソールで、[**ファイアウォール エンドポイント**] ページに移動します。 Google Cloud
プロジェクト選択メニューで、プロジェクトを選択します。 Google Cloud
[ファイアウォール エンドポイントの関連付け] セクションの表に、このプロジェクトに構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。
更新するファイアウォール エンドポイントの関連付けの横にある [編集] をクリックします。
ファイアウォール エンドポイントの関連付けを無効にするには、[関連付けを有効にする] チェックボックスをオフにします。
TLS インスペクション ポリシーを更新するには、[TLS インスペクション ポリシー] リストから新しいポリシーを選択します。
[保存] をクリックします。
gcloud
ファイアウォール エンドポイントの関連付けを更新するには、
gcloud network-security firewall-endpoint-associations update コマンドを使用します。
組織レベルのファイアウォール エンドポイント
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
プロジェクト レベルのファイアウォール エンドポイント
gcloud beta network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
次のように置き換えます。
NAME: ファイアウォール エンドポイントの関連付けの名前。ZONE: ファイアウォール エンドポイントの関連付けのゾーン。PROJECT_ID: 関連付けが作成されるプロジェクト ID。 Google CloudTLS_PROJECT_NAME: TLS インスペクション ポリシーのプロジェクト名。 Google CloudREGION_NAME: TLS インスペクション ポリシーのリージョン名。TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。
ファイアウォール エンドポイントの関連付けを削除する
組織レベルのファイアウォール エンドポイントの関連付けを削除するには、 Google Cloud コンソールまたは gcloud CLI を使用します。プロジェクト レベルのファイアウォール エンドポイントの関連付けを削除するには、gcloud CLI を使用します。
プロジェクトが削除されると、関連するファイアウォールエンドポイント の関連付けは自動的に削除されます。 Google Cloud この削除は、後でプロジェクトを復元しても元に戻せません。
ただし、これらの関連付けの削除プロセスが失敗することがあります。この場合、プロジェクトが復元されると、関連付けられたファイアウォール エンドポイントは、復元されたプロジェクト内で ORPHAN 状態になります。これは、削除が失敗したことにより、プロジェクトとそのリソース間の無効なリンクを示します。
これらの孤立したアソシエーションは Google Cloud コンソールで確認できますが、 編集はできません。Cloud Next Generation Firewall は、このような孤立したリソースを削除するバックグラウンド プロセスを定期的に実行します。
コンソール
コンソールで、[**ファイアウォール エンドポイント**] ページに移動します。 Google Cloud
プロジェクト選択メニューで、プロジェクトを選択します。 Google Cloud
[ファイアウォール エンドポイントの関連付け] セクションの表に、このプロジェクトに構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。
ファイアウォール エンドポイントの関連付けを選択し、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
ファイアウォール エンドポイントの関連付けを削除するには、gcloud network-security
firewall-endpoint-associations delete
command を使用します。
組織レベルのファイアウォール エンドポイント
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
プロジェクト レベルのファイアウォール エンドポイント
gcloud beta network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
次のように置き換えます。
NAME: ファイアウォール エンドポイントの関連付けの名前。ZONE: ファイアウォール エンドポイントの関連付けのゾーン。PROJECT_ID: 関連付けが作成されるプロジェクト ID。 Google Cloud