Nesta página, explicamos como gerenciar um endpoint de firewall e suas associações com uma rede de nuvem privada virtual (VPC) usando o console doGoogle Cloud e a Google Cloud CLI.
Para mais informações sobre endpoints de firewall, consulte Visão geral do endpoint de firewall. Para criar um endpoint de firewall, consulte Criar endpoints de firewall.
Antes de começar
Antes de gerenciar endpoints e associações de firewall, faça o seguinte:
- Verifique se você tem uma rede VPC e uma sub-rede.
- Ative as APIs necessárias:
- API Compute Engine no projeto Google Cloud .
- API Network Security no projeto Google Cloud que você quer usar para faturamento.
- API Certificate Authority Service no seu projeto Google Cloud .
- Instale a CLI gcloud se quiser executar exemplos de linha de comando
gcloud.
Papéis e permissões
Para receber as permissões necessárias para visualizar, atualizar ou excluir endpoints e associações de firewall, peça ao administrador para conceder a você os papéis do Identity and Access Management (IAM) necessários na sua organização ou projeto. Para mais informações, consulte Gerenciar acesso.
Para verificar o progresso das operações listadas nesta página, confira se sua conta de usuário tem o papel Usuário da rede do Compute (roles/compute.networkUser), que inclui as seguintes permissões:
networksecurity.operations.getnetworksecurity.operations.list
Cotas
Para conferir as cotas de endpoints e associações de firewall, consulte Cotas e limites.
Gerenciar endpoints no nível da organização
Nesta seção, você vai aprender a gerenciar os endpoints de firewall definidos no nível da organização.
Ver endpoints no nível da organização
Para conferir os detalhes de um endpoint de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.
A página Endpoints do firewall lista todos os endpoints de firewall configurados na organização.
Clique no nome do endpoint do firewall para ver os detalhes.
gcloud
Para conferir detalhes de um endpoint de firewall, use o comando gcloud network-security
firewall-endpoints describe:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Listar endpoints no nível da organização
Para listar todos os endpoints de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.
A página Endpoints do firewall lista todos os endpoints de firewall configurados.
gcloud
Para listar todos os endpoints de firewall, use o comando gcloud network-security
firewall-endpoints list:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Substitua:
ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado. Para listar endpoints em todas as zonas, use-.BILLING_PROJECT_ID: um ID de projetoGoogle Cloud opcional que vai receber a cobrança da cota pela operação. Isso é necessário apenas para endpoints de firewall no nível da organização.
Atualizar endpoint no nível da organização
Para atualizar um endpoint de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud. Também é possível atualizar o projeto de faturamento de um endpoint de firewall em uma organização.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.
A página Endpoints do firewall lista todos os endpoints de firewall configurados.
Clique no nome do endpoint do firewall para ver os detalhes.
Clique em Editar.
Na lista Projeto de faturamento, selecione o projeto Google Cloud que você quer usar para o faturamento do endpoint do firewall.
Clique em Salvar.
gcloud
Para atualizar um endpoint de firewall, use o comando
gcloud network-security
firewall-endpoints update:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.BILLING_PROJECT_ID: o Google Cloud ID do projeto que você quer associar a esse endpoint de firewall para faturamento. Isso é necessário apenas para endpoints de firewall no nível da organização.
Para informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.
Excluir endpoints no nível da organização
É possível excluir um endpoint de firewall especificando o nome, a zona e a organização ou o projeto dele.
Para excluir um endpoint de firewall no nível da organização, use o console doGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.
Selecione o endpoint do firewall e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Para excluir um endpoint de firewall, use o comando gcloud network-security
firewall-endpoints delete:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.ORGANIZATION_ID: a organização em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Gerenciar endpoints para envolvidos no projeto
Nesta seção, você vai aprender a gerenciar os endpoints de firewall definidos para envolvidos no projeto.
Ver endpoints para envolvidos no projeto
Para conferir os detalhes de um endpoint de firewall no nível do projeto, use o console do Google Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione o projeto em que o endpoint existe.
A seção Endpoints de firewall localizados neste projeto da página Endpoints de firewall lista todos os endpoints de firewall configurados no projeto atual.
Clique no nome do endpoint do firewall para ver os detalhes.
gcloud
Para conferir detalhes de um endpoint de firewall, use o comando gcloud beta network-security
firewall-endpoints describe:
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Listar endpoints no nível do projeto
Para listar todos os endpoints de firewall no nível do projeto, use o console Google Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione o projeto em que o endpoint existe.
A seção Endpoints de firewall localizados neste projeto da página Endpoints de firewall lista todos os endpoints de firewall configurados no projeto atual.
gcloud
Para listar todos os endpoints de firewall, use o comando gcloud beta network-security
firewall-endpoints list:
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
Substitua:
PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado. Para listar endpoints em todas as zonas, use-.
Atualizar endpoint para envolvidos no projeto
Para atualizar um endpoint de firewall para envolvidos no projeto, use a CLI gcloud. É possível gerenciar rótulos ou atualizar a descrição de um endpoint de firewall.
gcloud
Para atualizar um endpoint de firewall, use o comando
gcloud beta network-security
firewall-endpoints update:
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Para informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.
Excluir endpoints no nível do projeto
Para excluir um endpoint de firewall no nível do projeto, use a CLI gcloud.
gcloud
Para excluir um endpoint de firewall, use o comando gcloud network-security
firewall-endpoints delete:
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
Substitua:
NAME: o nome do endpoint de firewall.PROJECT_ID: o projeto em que o endpoint está ativado.ZONE: a zona em que o endpoint está ativado.
Gerenciar associações de endpoint de firewall
Uma associação de endpoint de firewall conecta um endpoint de firewall a uma rede VPC em uma zona específica.
Verifique se você tem um endpoint de firewall antes de gerenciar as associações dele. Para criar uma associação, consulte Criar endpoints e associações de firewall.
Requisitos de associação
Ao configurar associações de endpoints, siga estes requisitos:
- Restrições de zona:é necessário criar a associação na mesma zona que o endpoint de firewall. Para uma inspeção de tráfego eficaz, crie associações em zonas onde as instâncias de computação estão implantadas.
- Um endpoint por zona:em uma única zona, é possível associar uma rede VPC a apenas um endpoint de firewall (no nível do projeto (prévia) ou da organização). No entanto, é possível associar uma única rede VPC a diferentes endpoints de firewall em várias zonas.
- Associações entre projetos:é possível associar uma rede VPC a um endpoint de firewall em um projeto separado.
- Se você usar um endpoint para envolvidos no projeto (prévia), o projeto do endpoint precisa estar na mesma organização que a rede VPC.
- Mapeamento de recursos:uma associação é um recurso para envolvidos no projeto. Você cria a associação no projeto específico em que as instâncias de computação estão implantadas, mesmo que ela aponte para um endpoint de firewall no nível da organização.
Um endpoint de firewall com suporte a frames jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo pode aceitar pacotes de até 1.460 bytes. Se você precisar de um serviço de filtragem de URL ou de detecção e prevenção de intrusão, recomendamos que configure as redes VPC associadas para usar os limites de unidade máxima de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.
Visualizar uma associação de endpoint de firewall
Para conferir detalhes de uma associação de endpoint de firewall no nível da organização ou do projeto, use a CLI gcloud.
gcloud
Para conferir uma associação de endpoint de firewall, use o comando gcloud network-security
firewall-endpoint-associations describe.
Endpoint de firewall no nível da organização
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Endpoint de firewall para envolvidos no projeto
gcloud beta network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto Google Cloud em que a associação é criada.
Listar todas as associações de endpoints de firewall
Para listar todas as associações de endpoints de firewall no nível da organização e do projeto, use o consoleGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione seu Google Cloud projeto.
Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall de endpoints no nível da organização e para envolvidos no projeto.
gcloud
Para listar as associações de endpoints de firewall de uma rede específica, use o
comando gcloud network-security firewall-endpoint-associations list
com a flag --filter.
Endpoint de firewall no nível da organização
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Endpoint de firewall para envolvidos no projeto
gcloud beta network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Substitua:
NETWORK_NAME: o nome da rede VPC.PROJECT_ID: o ID do projeto Google Cloud em que a associação de endpoint de firewall é criada.
Editar uma associação de endpoint de firewall
Para editar uma associação de endpoint de firewall no nível da organização, use o console doGoogle Cloud ou a CLI gcloud. Para editar uma associação de endpoint de firewall no nível do projeto, use a CLI gcloud.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione seu Google Cloud projeto.
Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas para este projeto.
Ao lado da associação de endpoint de firewall que você quer atualizar, clique em Editar.
Para desativar a associação de endpoint de firewall, desmarque a caixa de seleção Ativar associação.
Para atualizar a política de inspeção da TLS, selecione uma nova política na lista Política de inspeção da TLS.
Clique em Salvar.
gcloud
Para atualizar uma associação de endpoint de firewall, use o
comando gcloud network-security firewall-endpoint-associations update.
Endpoint de firewall no nível da organização
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Endpoint de firewall para envolvidos no projeto
gcloud beta network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto Google Cloud em que a associação é criada.TLS_PROJECT_NAME: o nome do projeto Google Cloud da política de inspeção de TLS.REGION_NAME: o nome da região da política de inspeção da TLS.TLS_POLICY_NAME: o nome da política de inspeção da TLS.
Excluir uma associação de endpoint de firewall
Para excluir uma associação de endpoint de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud. Para excluir uma associação de endpoint de firewall no nível do projeto, use a CLI gcloud.
Quando um projeto Google Cloud é excluído, as associações de endpoint de firewall associadas são removidas automaticamente. Essa exclusão é irreversível, mesmo que o projeto seja restaurado mais tarde.
No entanto, o processo de exclusão dessas associações pode falhar.
Se isso acontecer e o projeto for restaurado, os endpoints de firewall associados
vão aparecer no estado ORPHAN no projeto restaurado. Isso
indica a vinculação interrompida entre o projeto e os recursos devido à
exclusão malsucedida.
É possível visualizar essas associações órfãs no console Google Cloud , mas não é possível editá-las. O Cloud Next Generation Firewall executa periodicamente um processo em segundo plano que exclui esses recursos órfãos.
Console
No console do Google Cloud , acesse a página Endpoints de firewall.
No menu do seletor de projetos, selecione seu Google Cloud projeto.
Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas para este projeto.
Selecione a associação de endpoint do firewall e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Para excluir uma associação de endpoint de firewall, use o comando gcloud network-security
firewall-endpoint-associations delete.
Endpoint de firewall no nível da organização
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Endpoint de firewall para envolvidos no projeto
gcloud beta network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Substitua:
NAME: o nome da associação do endpoint de firewall.ZONE: a zona da associação do endpoint de firewall.PROJECT_ID: o ID do projeto Google Cloud em que a associação é criada.
A seguir
- Criar endpoints e associações de firewall
- Usar políticas e regras hierárquicas de firewall
- Usar políticas e regras globais de firewall de rede