Cette page explique comment gérer un point de terminaison de pare-feu et ses associations avec un réseau cloud privé virtuel (VPC) à l'aide de la consoleGoogle Cloud et de la Google Cloud CLI.
Pour en savoir plus sur les points de terminaison de pare-feu, consultez la Présentation des points de terminaison de pare-feu. Pour créer un point de terminaison de pare-feu, consultez Créer des points de terminaison de pare-feu.
Avant de commencer
Avant de gérer les points de terminaison et les associations de pare-feu, procédez comme suit :
- Assurez-vous de disposer d'un réseau VPC et d'un sous-réseau.
- Activez les API requises :
- API Compute Engine dans votre projet Google Cloud .
- API Network Security dans le projet Google Cloud que vous souhaitez utiliser pour la facturation.
- L'API Certificate Authority Service dans votre projet Google Cloud
- Installez la gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande
gcloud.
Rôles et autorisations
Pour obtenir les autorisations nécessaires pour afficher, modifier ou supprimer des points de terminaison et des associations de pare-feu, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) nécessaires sur votre organisation ou votre projet. Pour en savoir plus, consultez Gérer l'accès.
Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre compte utilisateur dispose du rôle Utilisateur de réseau Compute (roles/compute.networkUser), qui inclut les autorisations suivantes :
networksecurity.operations.getnetworksecurity.operations.list
Quotas
Pour afficher les quotas des points de terminaison et des associations de pare-feu, consultez la page Quotas et limites.
Gérer les points de terminaison au niveau de l'organisation
Dans cette section, vous allez apprendre à gérer les points de terminaison de pare-feu définis au niveau de l'organisation.
Afficher les points de terminaison au niveau de l'organisation
Pour afficher les détails d'un point de terminaison de pare-feu au niveau de l'organisation, utilisez la consoleGoogle Cloud ou gcloud CLI.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez l'organisation dans laquelle le point de terminaison a été activé.
La page Points de terminaison de pare-feu recense tous les points de terminaison de pare-feu configurés dans l'organisation.
Cliquez sur le nom du point de terminaison de pare-feu pour en afficher les détails.
gcloud
Pour afficher les détails d'un point de terminaison de pare-feu, exécutez la commande gcloud network-security
firewall-endpoints describe :
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.
Lister les points de terminaison au niveau de l'organisation
Pour répertorier tous les points de terminaison de pare-feu au niveau de l'organisation, utilisez la consoleGoogle Cloud ou la gcloud CLI.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez l'organisation dans laquelle le point de terminaison a été activé.
La page Points de terminaison de pare-feu recense tous les points de terminaison de pare-feu configurés.
gcloud
Pour lister tous les points de terminaison de pare-feu, utilisez la commande gcloud network-security
firewall-endpoints list :
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Remplacez les éléments suivants :
ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé. Pour répertorier les points de terminaison de toutes les zones, utilisez-.BILLING_PROJECT_ID: ID du projetGoogle Cloud facultatif qui sera facturé par quota pour l'opération. Ce paramètre n'est requis que pour les points de terminaison de pare-feu au niveau de l'organisation.
Mettre à jour le point de terminaison au niveau de l'organisation
Pour mettre à jour un point de terminaison de pare-feu au niveau de l'organisation, utilisez la consoleGoogle Cloud ou gcloud CLI. Vous pouvez également mettre à jour le projet de facturation d'un point de terminaison de pare-feu dans une organisation.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez l'organisation dans laquelle le point de terminaison a été activé.
La page Points de terminaison de pare-feu recense tous les points de terminaison de pare-feu configurés.
Cliquez sur le nom du point de terminaison de pare-feu pour en afficher les détails.
Cliquez sur Modifier.
Dans la liste Projet de facturation, sélectionnez le projet Google Cloud que vous souhaitez utiliser pour facturer le point de terminaison de pare-feu.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour un point de terminaison de pare-feu, exécutez la commande gcloud network-security
firewall-endpoints update :
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.BILLING_PROJECT_ID: ID du projet Google Cloud que vous souhaitez associer à ce point de terminaison de pare-feu pour la facturation. Ce paramètre n'est requis que pour les points de terminaison de pare-feu au niveau de l'organisation.
Pour en savoir plus sur les tailles de paquets compatibles avec les points de terminaison du pare-feu, consultez Taille de paquet compatible.
Supprimer les points de terminaison au niveau de l'organisation
Vous pouvez supprimer un point de terminaison de pare-feu en spécifiant son nom, sa zone, son organisation ou son projet.
Pour supprimer un point de terminaison de pare-feu au niveau de l'organisation, utilisez la consoleGoogle Cloud ou la gcloud CLI.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez l'organisation dans laquelle le point de terminaison a été activé.
Sélectionnez le point de terminaison de pare-feu, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer un point de terminaison de pare-feu, exécutez la commande gcloud network-security
firewall-endpoints delete :
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.ORGANIZATION_ID: organisation dans laquelle le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.
Gérer les points de terminaison au niveau du projet
Dans cette section, vous allez apprendre à gérer les points de terminaison de pare-feu définis au niveau du projet.
Afficher les points de terminaison au niveau du projet
Pour afficher les détails d'un point de terminaison de pare-feu au niveau du projet, utilisez la console Google Cloud ou la gcloud CLI.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez le projet dans lequel se trouve le point de terminaison.
La section Points de terminaison de pare-feu situés dans ce projet de la page Points de terminaison de pare-feu liste tous les points de terminaison de pare-feu configurés dans le projet actuel.
Cliquez sur le nom du point de terminaison de pare-feu pour en afficher les détails.
gcloud
Pour afficher les détails d'un point de terminaison de pare-feu, exécutez la commande gcloud beta network-security
firewall-endpoints describe :
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.PROJECT_ID: projet dans lequel le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.
Lister les points de terminaison au niveau du projet
Pour lister tous les points de terminaison de pare-feu au niveau du projet, utilisez la console Google Cloud ou la gcloud CLI.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez le projet dans lequel se trouve le point de terminaison.
La section Points de terminaison de pare-feu situés dans ce projet de la page Points de terminaison de pare-feu liste tous les points de terminaison de pare-feu configurés dans le projet actuel.
gcloud
Pour lister tous les points de terminaison de pare-feu, utilisez la commande gcloud beta network-security
firewall-endpoints list :
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
Remplacez les éléments suivants :
PROJECT_ID: projet dans lequel le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé. Pour répertorier les points de terminaison de toutes les zones, utilisez-.
Mettre à jour un point de terminaison au niveau du projet
Pour mettre à jour un point de terminaison de pare-feu au niveau du projet, utilisez gcloud CLI. Vous pouvez gérer les libellés ou modifier la description d'un point de terminaison de pare-feu.
gcloud
Pour mettre à jour un point de terminaison de pare-feu, exécutez la commande gcloud beta network-security
firewall-endpoints update :
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.PROJECT_ID: projet dans lequel le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.
Pour en savoir plus sur les tailles de paquets compatibles avec les points de terminaison du pare-feu, consultez Taille de paquet compatible.
Supprimer des points de terminaison au niveau du projet
Pour supprimer un point de terminaison de pare-feu au niveau du projet, utilisez la gcloud CLI.
gcloud
Pour supprimer un point de terminaison de pare-feu, exécutez la commande gcloud network-security
firewall-endpoints delete :
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
Remplacez les éléments suivants :
NAME: nom du point de terminaison de pare-feu.PROJECT_ID: projet dans lequel le point de terminaison est activé.ZONE: zone dans laquelle le point de terminaison est activé.
Gérer les associations de points de terminaison de pare-feu
Une association de point de terminaison de pare-feu connecte un point de terminaison de pare-feu à un réseau VPC dans une zone spécifique.
Assurez-vous de disposer d'un point de terminaison de pare-feu avant de gérer ses associations. Pour créer une association, consultez Créer des points de terminaison et des associations de pare-feu.
Exigences d'association
Lorsque vous configurez des associations de points de terminaison, respectez les exigences suivantes :
- Contraintes liées à la zone : vous devez créer l'association dans la même zone que le point de terminaison de pare-feu. Pour inspecter efficacement le trafic, créez des associations dans les zones où vos instances de calcul sont déployées.
- Un point de terminaison par zone : dans une même zone, vous ne pouvez associer un réseau VPC qu'à un seul point de terminaison de pare-feu (au niveau du projet (aperçu) ou de l'organisation). Toutefois, vous pouvez associer un seul réseau VPC à différents points de terminaison de pare-feu dans plusieurs zones différentes.
- Associations entre projets : vous pouvez associer un réseau VPC à un point de terminaison de pare-feu dans un autre projet.
- Si vous utilisez un point de terminaison au niveau du projet (aperçu), le projet du point de terminaison doit résider dans la même organisation que le réseau VPC.
- Mappage des ressources : une association est une ressource au niveau du projet. Vous créez l'association dans le projet spécifique où vos instances de calcul sont déployées, même si l'association pointe vers un point de terminaison de pare-feu au niveau de l'organisation.
Un point de terminaison de pare-feu compatible avec les trames géantes ne peut accepter que les paquets de 8 500 octets maximum. Un point de terminaison de pare-feu sans prise en charge des trames géantes ne peut accepter que les paquets jusqu'à 1 460 octets. Si vous avez besoin d'un service de filtrage d'URL ou d'un service de détection et de prévention des intrusions, nous vous recommandons de configurer les réseaux VPC associés pour qu'ils utilisent les limites d'unité de transmission maximale (MTU) de 8 500 et 1 460 octets. Pour en savoir plus, consultez Taille de paquet acceptée.
Afficher une association de point de terminaison de pare-feu
Pour afficher les détails d'une association de point de terminaison de pare-feu au niveau de l'organisation ou d'une association de point de terminaison de pare-feu au niveau du projet, utilisez gcloud CLI.
gcloud
Pour afficher une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security
firewall-endpoint-associations describe.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Point de terminaison de pare-feu au niveau du projet
gcloud beta network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Remplacez les éléments suivants :
NAME: nom de l'association de point de terminaison de pare-feu.ZONE: zone de l'association de point de terminaison de pare-feu.PROJECT_ID: ID du projet Google Cloud dans lequel l'association est créée.
Lister toutes les associations de points de terminaison de pare-feu
Pour répertorier toutes les associations de points de terminaison de pare-feu au niveau de l'organisation et au niveau du projet, utilisez la consoleGoogle Cloud ou la gcloud CLI.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre projet Google Cloud .
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu au niveau de l'organisation et du projet.
gcloud
Pour répertorier les associations de points de terminaison de pare-feu pour un réseau spécifique, exécutez la commande gcloud network-security firewall-endpoint-associations list avec l'option --filter.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Point de terminaison de pare-feu au niveau du projet
gcloud beta network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Remplacez les éléments suivants :
NETWORK_NAME: nom du réseau VPCPROJECT_ID: ID du projet Google Cloud dans lequel l'association de point de terminaison de pare-feu est créée.
Modifier une association de points de terminaison de pare-feu
Pour modifier une association de points de terminaison de pare-feu au niveau de l'organisation, utilisez la consoleGoogle Cloud ou la gcloud CLI. Pour modifier une association de points de terminaison de pare-feu au niveau du projet, utilisez la gcloud CLI.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre projet Google Cloud .
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées pour ce projet.
À côté de l'association de points de terminaison de pare-feu que vous souhaitez mettre à jour, cliquez sur Modifier.
Pour désactiver l'association de points de terminaison de pare-feu, décochez la case Activer l'association.
Pour mettre à jour la règle d'inspection TLS, sélectionnez une nouvelle règle dans la liste Règle d'inspection TLS.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security firewall-endpoint-associations update.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Point de terminaison de pare-feu au niveau du projet
gcloud beta network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Remplacez les éléments suivants :
NAME: nom de l'association de point de terminaison de pare-feu.ZONE: zone de l'association de point de terminaison de pare-feu.PROJECT_ID: ID du projet Google Cloud dans lequel l'association est créée.TLS_PROJECT_NAME: nom du projet Google Cloud de la règle d'inspection TLS.REGION_NAME: nom de la région de la règle d'inspection TLS.TLS_POLICY_NAME: nom de la règle d'inspection TLS.
Supprimer une association de point de terminaison de pare-feu
Pour supprimer une association de points de terminaison de pare-feu au niveau de l'organisation, utilisez la consoleGoogle Cloud ou la gcloud CLI. Pour supprimer une association de points de terminaison de pare-feu au niveau du projet, utilisez la gcloud CLI.
Lorsqu'un projet Google Cloud est supprimé, les associations de points de terminaison de pare-feu qui y sont associées sont automatiquement supprimées. Cette suppression est irréversible, même si le projet est restauré ultérieurement.
Toutefois, il arrive que le processus de suppression de ces associations échoue.
Si cela se produit et que le projet est restauré, les points de terminaison de pare-feu associés apparaissent à l'état ORPHAN dans le projet restauré. Cela indique que le lien entre le projet et ses ressources est rompu en raison de l'échec de la suppression.
Vous pouvez afficher ces associations orphelines dans la console Google Cloud , mais vous ne pouvez pas les modifier. Cloud Next Generation Firewall exécute périodiquement un processus en arrière-plan qui supprime ces ressources orphelines.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre projet Google Cloud .
Dans la section Associations de points de terminaison de pare-feu, le tableau répertorie toutes les associations de points de terminaison de pare-feu configurées pour ce projet.
Sélectionnez l'association de points de terminaison de pare-feu, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer une association de points de terminaison de pare-feu, exécutez la commande gcloud network-security
firewall-endpoint-associations delete.
Point de terminaison de pare-feu au niveau de l'organisation
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Point de terminaison de pare-feu au niveau du projet
gcloud beta network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Remplacez les éléments suivants :
NAME: nom de l'association de point de terminaison de pare-feu.ZONE: zone de l'association de point de terminaison de pare-feu.PROJECT_ID: ID du projet Google Cloud dans lequel l'association est créée.
Étapes suivantes
- Créer des points de terminaison et des associations de pare-feu
- Utiliser des stratégies et des règles de pare-feu hiérarchiques
- Utiliser des stratégies et des règles de pare-feu de réseau globales