Firewall-Endpunkte und Endpunktverknüpfungen verwalten

Auf dieser Seite wird erläutert, wie Sie einen Firewall-Endpunkt und seine Verknüpfungen mit einem VPC-Netzwerk (Virtual Private Cloud) über dieGoogle Cloud -Konsole und die Google Cloud CLI verwalten.

Weitere Informationen zu Firewall-Endpunkten finden Sie unter Firewall-Endpunkte. Informationen zum Erstellen eines Firewall-Endpunkts finden Sie unter Firewall-Endpunkte erstellen.

Hinweis

Bevor Sie Firewall-Endpunkte und ‑Verknüpfungen verwalten, müssen Sie Folgendes tun:

  1. Sie benötigen ein VPC-Netzwerk und ein Subnetz.
  2. Aktivieren Sie die erforderlichen APIs:
  3. Installieren Sie die gcloud CLI, wenn Sie gcloud-Befehlszeilenbeispiele ausführen möchten.

Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen Identity and Access Management (IAM)-Rollen in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen, Aktualisieren oder Löschen von Firewall-Endpunkten und ‑Verknüpfungen benötigen. Weitere Informationen

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihr Nutzerkonto die Rolle Compute Network User (roles/compute.networkUser) haben, die die folgenden Berechtigungen umfasst:

  • networksecurity.operations.get
  • networksecurity.operations.list

Kontingente

Informationen zu Kontingenten für Firewall-Endpunkte und ‑Verknüpfungen finden Sie unter Kontingente und Limits.

Endpunkte auf Organisationsebene verwalten

In diesem Abschnitt erfahren Sie, wie Sie die Firewall-Endpunkte verwalten, die auf Organisationsebene definiert sind.

Endpunkte auf Organisationsebene ansehen

Wenn Sie die Details eines Firewall-Endpunkts auf Organisationsebene aufrufen möchten, verwenden Sie dieGoogle Cloud Console oder die gcloud CLI.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, in der der Endpunkt aktiviert wurde.

    Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte in der Organisation aufgelistet.

  3. Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.

gcloud

Wenn Sie Details zu einem Firewall-Endpunkt aufrufen möchten, verwenden Sie den gcloud network-security firewall-endpoints describe-Befehl:

gcloud network-security firewall-endpoints \
    describe NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Endpunkte auf Organisationsebene auflisten

Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um alle Firewall-Endpunkte auf Organisationsebene aufzulisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, in der der Endpunkt aktiviert wurde.

  3. Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte aufgelistet.

gcloud

Verwenden Sie den gcloud network-security firewall-endpoints list-Befehl, um alle Firewall-Endpunkte aufzulisten:

gcloud network-security firewall-endpoints list \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist. Verwenden Sie -, um Endpunkte in allen Zonen aufzulisten.

  • BILLING_PROJECT_ID: eine optionaleGoogle Cloud Projekt-ID, die für den Vorgang mit einem Kontingent belastet wird. Dies ist nur für Firewall-Endpunkte auf Organisationsebene erforderlich.

Endpunkt auf Organisationsebene aktualisieren

Verwenden Sie zum Aktualisieren eines Firewall-Endpunkts auf Organisationsebene dieGoogle Cloud Console oder die gcloud CLI. Sie können auch das Abrechnungsprojekt eines Firewall-Endpunkts in einer Organisation aktualisieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, in der der Endpunkt aktiviert wurde.

    Auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte aufgelistet.

  3. Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.

  4. Klicken Sie auf Bearbeiten.

  5. Wählen Sie in der Liste Abrechnungsprojekt das Google Cloud Projekt aus, das für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Aktualisieren eines Firewall-Endpunkts den gcloud network-security firewall-endpoints update-Befehl:

gcloud network-security firewall-endpoints \
    update NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

  • BILLING_PROJECT_ID: die Google Cloud Projekt-ID, die Sie diesem Firewall-Endpunkt zur Abrechnung zuordnen möchten. Dies ist nur für Firewall-Endpunkte auf Organisationsebene erforderlich.

Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Endpunkte auf Organisationsebene löschen

Sie können einen Firewall-Endpunkt löschen, indem Sie seinen Namen, seine Zone und seine Organisation oder sein Projekt angeben.

Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um einen Firewall-Endpunkt auf Organisationsebene zu löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus, in der der Endpunkt aktiviert wurde.

  3. Wählen Sie den Firewall-Endpunkt aus und klicken Sie auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints delete-Befehl:

gcloud network-security firewall-endpoints delete NAME
    --organization ORGANIZATION_ID \
    --zone ZONE

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • ORGANIZATION_ID: die Organisation, in der der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Endpunkte auf Projektebene verwalten

In diesem Abschnitt erfahren Sie, wie Sie die Firewall-Endpunkte verwalten, die auf Projektebene definiert sind.

Endpunkte auf Projektebene ansehen

Wenn Sie die Details eines Firewall-Endpunkts auf Projektebene aufrufen möchten, verwenden Sie die Google Cloud Console oder die gcloud CLI.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie in der Projektauswahl das Projekt aus, in dem der Endpunkt vorhanden ist.

    Im Abschnitt Firewall-Endpunkte in diesem Projekt auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte im aktuellen Projekt aufgeführt.

  3. Klicken Sie auf den Namen des Firewall-Endpunkts, um dessen Details aufzurufen.

gcloud

Wenn Sie Details zu einem Firewall-Endpunkt aufrufen möchten, verwenden Sie den gcloud beta network-security firewall-endpoints describe-Befehl:

gcloud beta network-security firewall-endpoints \
    describe NAME \
    --project PROJECT_ID \
    --zone ZONE

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Endpunkte auf Projektebene auflisten

Verwenden Sie die Google Cloud Console oder die gcloud CLI, um alle Firewall-Endpunkte auf Projektebene aufzulisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie in der Projektauswahl das Projekt aus, in dem der Endpunkt vorhanden ist.

    Im Abschnitt Firewall-Endpunkte in diesem Projekt auf der Seite Firewall-Endpunkte werden alle konfigurierten Firewall-Endpunkte im aktuellen Projekt aufgeführt.

gcloud

Verwenden Sie den gcloud beta network-security firewall-endpoints list-Befehl, um alle Firewall-Endpunkte aufzulisten:

gcloud beta network-security firewall-endpoints list \
    --project PROJECT_ID \
    --zone ZONE

Ersetzen Sie Folgendes:

  • PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist. Verwenden Sie -, um Endpunkte in allen Zonen aufzulisten.

Endpunkt auf Projektebene aktualisieren

Verwenden Sie die gcloud CLI, um einen Firewall-Endpunkt auf Projektebene zu aktualisieren. Sie können Labels für einen Firewall-Endpunkt verwalten oder die Beschreibung aktualisieren.

gcloud

Verwenden Sie zum Aktualisieren eines Firewall-Endpunkts den gcloud beta network-security firewall-endpoints update-Befehl:

gcloud beta network-security firewall-endpoints \
    update NAME \
    --project PROJECT_ID \
    --zone ZONE

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Informationen zu den von Firewall-Endpunkten unterstützten Paketgrößen finden Sie unter Unterstützte Paketgröße.

Endpunkte auf Projektebene löschen

Verwenden Sie die gcloud CLI, um einen Firewall-Endpunkt auf Projektebene zu löschen.

gcloud

Verwenden Sie zum Löschen eines Firewall-Endpunkts den gcloud network-security firewall-endpoints delete-Befehl:

gcloud beta network-security firewall-endpoints delete NAME
    --project PROJECT_ID \
    --zone ZONE

Ersetzen Sie Folgendes:

  • NAME: der Name des Firewall-Endpunkts.

  • PROJECT_ID: das Projekt, in dem der Endpunkt aktiviert ist.

  • ZONE: die Zone, in der der Endpunkt aktiviert ist.

Firewall-Endpunktverknüpfungen verwalten

Eine Firewall-Endpunktverknüpfung verbindet einen Firewall-Endpunkt mit einem VPC-Netzwerk in einer bestimmten Zone.

Achten Sie darauf, dass Sie einen Firewall-Endpunkt haben, bevor Sie seine Verknüpfungen verwalten. Informationen zum Erstellen einer Verknüpfung finden Sie unter Firewall-Endpunkte und ‑Verknüpfungen erstellen.

Anforderungen für die Verknüpfung

Beachten Sie bei der Konfiguration von Endpunktzuordnungen die folgenden Anforderungen:

  • Zonenbeschränkungen:Sie müssen die Verknüpfung in derselben Zone wie den Firewall-Endpunkt erstellen. Für eine effektive Traffic-Prüfung sollten Sie Zuordnungen in Zonen erstellen, in denen Ihre Compute-Instanzen bereitgestellt werden.
  • Ein Endpunkt pro Zone:In einer einzelnen Zone können Sie ein VPC-Netzwerk nur mit einem Firewall-Endpunkt verknüpfen (entweder auf Projektebene (Vorabversion) oder auf Organisationsebene). Sie können jedoch ein einzelnes VPC-Netzwerk mit verschiedenen Firewall-Endpunkten in mehreren verschiedenen Zonen verknüpfen.
  • Projektübergreifende Verknüpfungen:Sie können ein VPC-Netzwerk mit einem Firewall-Endpunkt in einem separaten Projekt verknüpfen.
    • Wenn Sie einen Endpunkt auf Projektebene (Vorabversion) verwenden, muss sich das Projekt des Endpunkts in derselben Organisation wie das VPC-Netzwerk befinden.
  • Ressourcenzuordnung:Eine Zuordnung ist eine Ressource auf Projektebene. Sie erstellen die Zuordnung in dem Projekt, in dem Ihre Compute-Instanzen bereitgestellt werden, auch wenn sie auf einen Firewall-Endpunkt auf Organisationsebene verweist.

Ein Firewallendpunkt mit Unterstützung für Jumbo-Frames kann nur Pakete mit einer Größe von bis zu 8.500 Bytes akzeptieren. Alternativ kann ein Firewallendpunkt ohne Jumbo-Frame-Unterstützung nur Pakete mit einer Größe von bis zu 1.460 Bytes akzeptieren. Wenn Sie einen URL-Filterdienst oder einen Dienst zur Einbruchserkennung und -verhinderung benötigen, empfehlen wir, die zugehörigen VPC-Netzwerke so zu konfigurieren, dass die Grenzwerte für die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) von 8.500 Byte und 1.460 Byte verwendet werden. Weitere Informationen finden Sie unter Unterstützte Paketgröße.

Firewall-Endpunktverknüpfung aufrufen

Wenn Sie Details zu einer Firewall-Endpunktverknüpfung auf Organisationsebene oder auf Projektebene aufrufen möchten, verwenden Sie die gcloud CLI.

gcloud

Verwenden Sie den gcloud network-security firewall-endpoint-associations describe-Befehl, um eine Firewall-Endpunktverknüpfung aufzurufen.

Firewall-Endpunkt auf Organisationsebene

gcloud network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Firewall-Endpunkt auf Projektebene

gcloud beta network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Ersetzen Sie Folgendes:

  • NAME: der Name der Firewall-Endpunktverknüpfung.

  • ZONE: die Zone der Firewall-Endpunktverknüpfung.

  • PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird.

Alle Firewall-Endpunktverknüpfungen auflisten

Verwenden Sie dieGoogle Cloud -Konsole oder die gcloud CLI, um alle Firewall-Endpunktverknüpfungen auf Organisations- und Projektebene aufzulisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud -Projekt aus.

    Im Abschnitt Firewall-Endpunktverknüpfungen werden in der Tabelle alle Firewall-Endpunktverknüpfungen von Endpunkten auf Organisations- und Projektebene aufgeführt.

gcloud

Verwenden Sie den gcloud network-security firewall-endpoint-associations list-Befehl mit dem --filter-Flag, um Firewall-Endpunktverknüpfungen für ein bestimmtes Netzwerk aufzulisten.

Firewall-Endpunkt auf Organisationsebene

gcloud network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Firewall-Endpunkt auf Projektebene

gcloud beta network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Ersetzen Sie Folgendes:

  • NETWORK_NAME: der Name des VPC-Netzwerks
  • PROJECT_ID: die Google Cloud Projekt-ID, in der die Firewall-Endpunktverknüpfung erstellt wird.

Firewall-Endpunktverknüpfung bearbeiten

Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Organisationsebene zu bearbeiten. Verwenden Sie die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Projektebene zu bearbeiten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud -Projekt aus.

    Im Abschnitt Firewall-Endpunktverknüpfungen listet eine Tabelle alle konfigurierten Firewall-Endpunktverknüpfungen für dieses Projekt auf.

  3. Klicken Sie neben der Firewall-Endpunktzuordnung, die Sie aktualisieren möchten, auf Bearbeiten.

  4. Wenn Sie die Firewall-Endpunktverknüpfung deaktivieren möchten, entfernen Sie das Häkchen aus dem Kästchen Verknüpfung aktivieren.

  5. Wählen Sie zum Aktualisieren der TLS-Prüfungsrichtlinie eine neue Richtlinie aus der Liste der TLS-Prüfungsrichtlinien aus.

  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Aktualisieren einer Firewall-Endpunktverknüpfung den gcloud network-security firewall-endpoint-associations update-Befehl.

Firewall-Endpunkt auf Organisationsebene

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Firewall-Endpunkt auf Projektebene

gcloud beta network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Ersetzen Sie Folgendes:

  • NAME: der Name der Firewall-Endpunktverknüpfung.

  • ZONE: die Zone der Firewall-Endpunktverknüpfung.

  • PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird.

  • TLS_PROJECT_NAME: der Google Cloud Projektname der TLS-Prüfungsrichtlinie.

  • REGION_NAME: der Name der Region der TLS-Prüfungsrichtlinie

  • TLS_POLICY_NAME: der Name der TLS-Prüfungsrichtlinie

Firewall-Endpunktverknüpfung löschen

Verwenden Sie dieGoogle Cloud Console oder die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Organisationsebene zu löschen. Verwenden Sie die gcloud CLI, um eine Firewall-Endpunktverknüpfung auf Projektebene zu löschen.

Wenn ein Google Cloud -Projekt gelöscht wird, werden die zugehörigen Firewall-Endpunktzuordnungen automatisch entfernt. Das Löschen kann nicht rückgängig gemacht werden, auch wenn das Projekt später wiederhergestellt wird.

Das Löschen dieser Verknüpfungen kann jedoch manchmal fehlschlagen. In diesem Fall und nach der Wiederherstellung des Projekts haben die zugehörigen Firewallendpunkte im wiederhergestellten Projekt den Status ORPHAN. Dies weist auf die unterbrochene Verknüpfung zwischen dem Projekt und seinen Ressourcen aufgrund des fehlgeschlagenen Löschvorgangs hin.

Sie können sich diese verwaisten Verknüpfungen in der Google Cloud Console ansehen, sie jedoch nicht bearbeiten. Die Cloud Next Generation Firewall führt regelmäßig einen Hintergrundprozess aus, mit dem diese verwaisten Ressourcen gelöscht werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Google Cloud -Projekt aus.

    Im Abschnitt Firewall-Endpunktverknüpfungen listet eine Tabelle alle konfigurierten Firewall-Endpunktverknüpfungen für dieses Projekt auf.

  3. Wählen Sie die Firewall-Endpunktverknüpfung aus und klicken Sie auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Firewall-Endpunktverknüpfung den gcloud network-security firewall-endpoint-associations delete-Befehl.

Firewall-Endpunkt auf Organisationsebene

gcloud network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Firewall-Endpunkt auf Projektebene

gcloud beta network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Ersetzen Sie Folgendes:

  • NAME: der Name der Firewall-Endpunktverknüpfung.

  • ZONE: die Zone der Firewall-Endpunktverknüpfung.

  • PROJECT_ID: die Google Cloud Projekt-ID, in der die Verknüpfung erstellt wird.

Nächste Schritte