Gestire gli endpoint firewall e le associazioni di endpoint

Questa pagina spiega come gestire un endpoint firewall e le relative associazioni a una rete Virtual Private Cloud (VPC) utilizzando la consoleGoogle Cloud e Google Cloud CLI.

Per saperne di più sugli endpoint firewall, consulta la Panoramica degli endpoint firewall. Per creare un endpoint firewall, vedi Crea endpoint firewall.

Prima di iniziare

Prima di gestire endpoint e associazioni firewall, completa le seguenti operazioni:

  1. Assicurati di avere una rete VPC e una subnet.
  2. Abilita le API richieste:
  3. Installa gcloud CLI se vuoi eseguire gli esempi della riga di comando gcloud.

Ruoli e autorizzazioni

Per ottenere le autorizzazioni necessarie per visualizzare, aggiornare o eliminare endpoint e associazioni firewall, chiedi all'amministratore di concederti i ruoli IAM (Identity and Access Management) necessari per la tua organizzazione o il tuo progetto. Per saperne di più, vedi Gestire l'accesso.

Per controllare l'avanzamento delle operazioni elencate in questa pagina, assicurati che il tuo account utente disponga del ruolo Utente di rete Compute (roles/compute.networkUser), che include le seguenti autorizzazioni:

  • networksecurity.operations.get
  • networksecurity.operations.list

Quote

Per visualizzare le quote per gli endpoint firewall e le associazioni, consulta Quote e limiti.

Gestire gli endpoint a livello di organizzazione

In questa sezione, scopri come gestire gli endpoint firewall definiti a livello di organizzazione.

Visualizzare gli endpoint a livello di organizzazione

Per visualizzare i dettagli di un endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona l'organizzazione in cui è stato attivato l'endpoint.

    La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nell'organizzazione.

  3. Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.

gcloud

Per visualizzare i dettagli di un endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints describe:

gcloud network-security firewall-endpoints \
    describe NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE

Sostituisci quanto segue:

  • NAME: il nome dell'endpoint firewall.

  • ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.

  • ZONE: la zona in cui è attivato l'endpoint.

Elenca gli endpoint a livello di organizzazione

Per elencare tutti gli endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona l'organizzazione in cui è stato attivato l'endpoint.

  3. La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati.

gcloud

Per elencare tutti gli endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints list:

gcloud network-security firewall-endpoints list \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.

  • ZONE: la zona in cui è attivato l'endpoint. Per elencare gli endpoint in tutte le zone, utilizza -.

  • BILLING_PROJECT_ID: un ID progettoGoogle Cloud facoltativo a cui verrà addebitata la quota per l'operazione. Questo è necessario solo per gli endpoint firewall a livello di organizzazione.

Aggiorna l'endpoint a livello di organizzazione

Per aggiornare un endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI. Puoi anche aggiornare il progetto di fatturazione di un endpoint firewall in un'organizzazione.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona l'organizzazione in cui è stato attivato l'endpoint.

    La pagina Endpoint firewall elenca tutti gli endpoint firewall configurati.

  3. Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.

  4. Fai clic su Modifica.

  5. Nell'elenco Progetto di fatturazione, seleziona il progetto che vuoi utilizzare per la fatturazione dell'endpoint firewall. Google Cloud

  6. Fai clic su Salva.

gcloud

Per aggiornare un endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints update:

gcloud network-security firewall-endpoints \
    update NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Sostituisci quanto segue:

  • NAME: il nome dell'endpoint firewall.

  • ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.

  • ZONE: la zona in cui è attivato l'endpoint.

  • BILLING_PROJECT_ID: l' Google Cloud ID progetto che vuoi associare a questo endpoint firewall per la fatturazione. Questo è necessario solo per gli endpoint firewall a livello di organizzazione.

Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta Dimensioni dei pacchetti supportate.

Elimina endpoint a livello di organizzazione

Puoi eliminare un endpoint firewall specificandone il nome, la zona e l'organizzazione o il progetto.

Per eliminare un endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione in cui è stato attivato l'endpoint.

  3. Seleziona l'endpoint firewall, quindi fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare un endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints delete:

gcloud network-security firewall-endpoints delete NAME
    --organization ORGANIZATION_ID \
    --zone ZONE

Sostituisci quanto segue:

  • NAME: il nome dell'endpoint firewall.

  • ORGANIZATION_ID: l'organizzazione in cui è attivato l'endpoint.

  • ZONE: la zona in cui è attivato l'endpoint.

Gestisci gli endpoint a livello di progetto

In questa sezione, scopri come gestire gli endpoint firewall definiti a livello di progetto.

Visualizza gli endpoint a livello di progetto

Per visualizzare i dettagli di un endpoint firewall a livello di progetto, utilizza la console Google Cloud o gcloud CLI.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona il progetto in cui esiste l'endpoint.

    La sezione Endpoint firewall situati in questo progetto della pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nel progetto attuale.

  3. Fai clic sul nome dell'endpoint firewall per visualizzarne i dettagli.

gcloud

Per visualizzare i dettagli di un endpoint firewall, utilizza il comando gcloud beta network-security firewall-endpoints describe:

gcloud beta network-security firewall-endpoints \
    describe NAME \
    --project PROJECT_ID \
    --zone ZONE

Sostituisci quanto segue:

  • NAME: il nome dell'endpoint firewall.

  • PROJECT_ID: il progetto in cui è attivato l'endpoint.

  • ZONE: la zona in cui è attivato l'endpoint.

Elenca gli endpoint a livello di progetto

Per elencare tutti gli endpoint firewall a livello di progetto, utilizza la console Google Cloud o gcloud CLI.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona il progetto in cui esiste l'endpoint.

    La sezione Endpoint firewall situati in questo progetto della pagina Endpoint firewall elenca tutti gli endpoint firewall configurati nel progetto attuale.

gcloud

Per elencare tutti gli endpoint firewall, utilizza il comando gcloud beta network-security firewall-endpoints list:

gcloud beta network-security firewall-endpoints list \
    --project PROJECT_ID \
    --zone ZONE

Sostituisci quanto segue:

  • PROJECT_ID: il progetto in cui è attivato l'endpoint.

  • ZONE: la zona in cui è attivato l'endpoint. Per elencare gli endpoint in tutte le zone, utilizza -.

Aggiorna l'endpoint a livello di progetto

Per aggiornare un endpoint firewall a livello di progetto, utilizza gcloud CLI. Puoi gestire le etichette o aggiornare la descrizione di un endpoint firewall.

gcloud

Per aggiornare un endpoint firewall, utilizza il comando gcloud beta network-security firewall-endpoints update:

gcloud beta network-security firewall-endpoints \
    update NAME \
    --project PROJECT_ID \
    --zone ZONE

Sostituisci quanto segue:

  • NAME: il nome dell'endpoint firewall.

  • PROJECT_ID: il progetto in cui è attivato l'endpoint.

  • ZONE: la zona in cui è attivato l'endpoint.

Per informazioni sulle dimensioni dei pacchetti supportate dagli endpoint firewall, consulta Dimensioni dei pacchetti supportate.

Elimina endpoint a livello di progetto

Per eliminare un endpoint firewall a livello di progetto, utilizza gcloud CLI.

gcloud

Per eliminare un endpoint firewall, utilizza il comando gcloud network-security firewall-endpoints delete:

gcloud beta network-security firewall-endpoints delete NAME
    --project PROJECT_ID \
    --zone ZONE

Sostituisci quanto segue:

  • NAME: il nome dell'endpoint firewall.

  • PROJECT_ID: il progetto in cui è attivato l'endpoint.

  • ZONE: la zona in cui è attivato l'endpoint.

Gestisci le associazioni di endpoint firewall

L'associazione di un endpoint firewall collega un endpoint firewall a una rete VPC in una zona specifica.

Assicurati di avere un endpoint firewall prima di gestirne le associazioni. Per creare un'associazione, vedi Crea endpoint firewall e associazioni.

Requisiti di associazione

Quando configuri le associazioni degli endpoint, rispetta questi requisiti:

  • Vincoli di zona:devi creare l'associazione nella stessa zona dell'endpoint firewall. Per un'ispezione efficace del traffico, crea associazioni nelle zone in cui vengono implementate le istanze di calcolo.
  • Un endpoint per zona:in una singola zona, puoi associare una rete VPC a un solo endpoint firewall (a livello di progetto (anteprima) o a livello di organizzazione). Tuttavia, puoi associare una singola rete VPC a endpoint firewall diversi in più zone diverse.
  • Associazioni tra progetti: puoi associare una rete VPC a un endpoint firewall in un progetto separato.
    • Se utilizzi un endpoint a livello di progetto (anteprima), il progetto dell'endpoint deve trovarsi nella stessa organizzazione della rete VPC.
  • Mappatura delle risorse:un'associazione è una risorsa a livello di progetto. Crea l'associazione all'interno del progetto specifico in cui sono implementate le istanze di Compute, anche se l'associazione punta a un endpoint firewall a livello di organizzazione.

Un endpoint del firewall con supporto dei frame jumbo può accettare pacchetti fino a 8500 byte. In alternativa, un endpoint del firewall senza supporto dei frame jumbo può accettare pacchetti solo fino a 1460 byte. Se hai bisogno del servizio di filtro URL o del servizio di rilevamento e prevenzione delle intrusioni, ti consigliamo di configurare le reti VPC associate in modo che utilizzino i limiti dell'unità massima di trasmissione (MTU) di 8500 byte e 1460 byte. Per ulteriori informazioni, vedi Dimensioni dei pacchetti supportate.

Visualizza un'associazione di endpoint firewall

Per visualizzare i dettagli di un'associazione di endpoint firewall a livello di organizzazione o di un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.

gcloud

Per visualizzare un'associazione di endpoint firewall, utilizza il comando gcloud network-security firewall-endpoint-associations describe.

Endpoint firewall a livello di organizzazione

gcloud network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Endpoint firewall a livello di progetto

gcloud beta network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Sostituisci quanto segue:

  • NAME: il nome dell'associazione degli endpoint firewall.

  • ZONE: la zona dell'associazione degli endpoint firewall.

  • PROJECT_ID: l'ID Google Cloud progetto in cui viene creata l'associazione.

Elenca tutte le associazioni di endpoint firewall

Per elencare tutte le associazioni di endpoint firewall a livello di organizzazione e di progetto, utilizza la consoleGoogle Cloud o gcloud CLI.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud .

    Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall degli endpoint a livello di organizzazione e di progetto.

gcloud

Per elencare le associazioni di endpoint firewall per una rete specifica, utilizza il comando gcloud network-security firewall-endpoint-associations list con il flag --filter.

Endpoint firewall a livello di organizzazione

gcloud network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Endpoint firewall a livello di progetto

gcloud beta network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della rete VPC.
  • PROJECT_ID: l'ID progetto Google Cloud in cui viene creata l'associazione degli endpoint firewall.

Modifica un'associazione di endpoint firewall

Per modificare un'associazione di endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI. Per modificare un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud .

    Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.

  3. Accanto all'associazione dell'endpoint firewall che vuoi aggiornare, fai clic su Modifica.

  4. Per disattivare l'associazione di endpoint firewall, deseleziona la casella di controllo Abilita associazione.

  5. Per aggiornare la policy di ispezione TLS, seleziona una nuova policy dall'elenco Policy di ispezione TLS.

  6. Fai clic su Salva.

gcloud

Per aggiornare un'associazione di endpoint firewall, utilizza il comando gcloud network-security firewall-endpoint-associations update.

Endpoint firewall a livello di organizzazione

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Endpoint firewall a livello di progetto

gcloud beta network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Sostituisci quanto segue:

  • NAME: il nome dell'associazione degli endpoint firewall.

  • ZONE: la zona dell'associazione degli endpoint firewall.

  • PROJECT_ID: l'ID Google Cloud progetto in cui viene creata l'associazione.

  • TLS_PROJECT_NAME: il nome del progetto Google Cloud della policy di ispezione TLS.

  • REGION_NAME: il nome della regione della policy di ispezione TLS.

  • TLS_POLICY_NAME: il nome della policy di ispezione TLS.

Elimina un'associazione di endpoint firewall

Per eliminare un'associazione di endpoint firewall a livello di organizzazione, utilizza la consoleGoogle Cloud o gcloud CLI. Per eliminare un'associazione di endpoint firewall a livello di progetto, utilizza gcloud CLI.

Quando un progetto Google Cloud viene eliminato, le associazioni di endpoint firewall associate vengono rimosse automaticamente. Questa eliminazione è irreversibile, anche se il progetto viene ripristinato in un secondo momento.

Tuttavia, a volte il processo di eliminazione di queste associazioni potrebbe non riuscire. Se ciò accade e il progetto viene ripristinato, gli endpoint firewall associati vengono visualizzati nello stato ORPHAN all'interno del progetto ripristinato. Ciò indica il link inaccessibile tra il progetto e le relative risorse a causa dell'eliminazione non riuscita.

Puoi visualizzare queste associazioni orfane nella console Google Cloud , ma non puoi modificarle. Cloud Next Generation Firewall esegue periodicamente un processo in background che elimina queste risorse orfane.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto Google Cloud .

    Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.

  3. Seleziona l'associazione degli endpoint firewall, quindi fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare un'associazione di endpoint firewall, utilizza il comando gcloud network-security firewall-endpoint-associations delete.

Endpoint firewall a livello di organizzazione

gcloud network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Endpoint firewall a livello di progetto

gcloud beta network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Sostituisci quanto segue:

  • NAME: il nome dell'associazione degli endpoint firewall.

  • ZONE: la zona dell'associazione degli endpoint firewall.

  • PROJECT_ID: l'ID Google Cloud progetto in cui viene creata l'associazione.

Passaggi successivi