Gerenciar endpoints de firewall e associações de endpoints

Nesta página, explicamos como gerenciar um endpoint de firewall e suas associações com uma rede de nuvem privada virtual (VPC) usando o console doGoogle Cloud e a Google Cloud CLI.

Para mais informações sobre endpoints de firewall, consulte Visão geral do endpoint de firewall. Para criar um endpoint de firewall, consulte Criar endpoints de firewall.

Antes de começar

Antes de gerenciar endpoints e associações de firewall, faça o seguinte:

  1. Verifique se você tem uma rede VPC e uma sub-rede.
  2. Ative as APIs necessárias:
  3. Instale a CLI gcloud se quiser executar exemplos de linha de comando gcloud.

Papéis e permissões

Para receber as permissões necessárias para visualizar, atualizar ou excluir endpoints e associações de firewall, peça ao administrador para conceder a você os papéis do Identity and Access Management (IAM) necessários na sua organização ou projeto. Para mais informações, consulte Gerenciar acesso.

Para verificar o progresso das operações listadas nesta página, confira se sua conta de usuário tem o papel Usuário da rede do Compute (roles/compute.networkUser), que inclui as seguintes permissões:

  • networksecurity.operations.get
  • networksecurity.operations.list

Cotas

Para conferir as cotas de endpoints e associações de firewall, consulte Cotas e limites.

Gerenciar endpoints no nível da organização

Nesta seção, você vai aprender a gerenciar os endpoints de firewall definidos no nível da organização.

Ver endpoints no nível da organização

Para conferir os detalhes de um endpoint de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.

    A página Endpoints do firewall lista todos os endpoints de firewall configurados na organização.

  3. Clique no nome do endpoint do firewall para ver os detalhes.

gcloud

Para conferir detalhes de um endpoint de firewall, use o comando gcloud network-security firewall-endpoints describe:

gcloud network-security firewall-endpoints \
    describe NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE

Substitua:

  • NAME: o nome do endpoint de firewall.

  • ORGANIZATION_ID: a organização em que o endpoint está ativado.

  • ZONE: a zona em que o endpoint está ativado.

Listar endpoints no nível da organização

Para listar todos os endpoints de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.

  3. A página Endpoints do firewall lista todos os endpoints de firewall configurados.

gcloud

Para listar todos os endpoints de firewall, use o comando gcloud network-security firewall-endpoints list:

gcloud network-security firewall-endpoints list \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Substitua:

  • ORGANIZATION_ID: a organização em que o endpoint está ativado.

  • ZONE: a zona em que o endpoint está ativado. Para listar endpoints em todas as zonas, use -.

  • BILLING_PROJECT_ID: um ID de projetoGoogle Cloud opcional que vai receber a cobrança da cota pela operação. Isso é necessário apenas para endpoints de firewall no nível da organização.

Atualizar endpoint no nível da organização

Para atualizar um endpoint de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud. Também é possível atualizar o projeto de faturamento de um endpoint de firewall em uma organização.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.

    A página Endpoints do firewall lista todos os endpoints de firewall configurados.

  3. Clique no nome do endpoint do firewall para ver os detalhes.

  4. Clique em Editar.

  5. Na lista Projeto de faturamento, selecione o projeto Google Cloud que você quer usar para o faturamento do endpoint do firewall.

  6. Clique em Salvar.

gcloud

Para atualizar um endpoint de firewall, use o comando gcloud network-security firewall-endpoints update:

gcloud network-security firewall-endpoints \
    update NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Substitua:

  • NAME: o nome do endpoint de firewall.

  • ORGANIZATION_ID: a organização em que o endpoint está ativado.

  • ZONE: a zona em que o endpoint está ativado.

  • BILLING_PROJECT_ID: o Google Cloud ID do projeto que você quer associar a esse endpoint de firewall para faturamento. Isso é necessário apenas para endpoints de firewall no nível da organização.

Para informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.

Excluir endpoints no nível da organização

É possível excluir um endpoint de firewall especificando o nome, a zona e a organização ou o projeto dele.

Para excluir um endpoint de firewall no nível da organização, use o console doGoogle Cloud ou a CLI gcloud.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione a organização em que o endpoint foi ativado.

  3. Selecione o endpoint do firewall e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

gcloud

Para excluir um endpoint de firewall, use o comando gcloud network-security firewall-endpoints delete:

gcloud network-security firewall-endpoints delete NAME
    --organization ORGANIZATION_ID \
    --zone ZONE

Substitua:

  • NAME: o nome do endpoint de firewall.

  • ORGANIZATION_ID: a organização em que o endpoint está ativado.

  • ZONE: a zona em que o endpoint está ativado.

Gerenciar endpoints para envolvidos no projeto

Nesta seção, você vai aprender a gerenciar os endpoints de firewall definidos para envolvidos no projeto.

Ver endpoints para envolvidos no projeto

Para conferir os detalhes de um endpoint de firewall no nível do projeto, use o console do Google Cloud ou a CLI gcloud.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione o projeto em que o endpoint existe.

    A seção Endpoints de firewall localizados neste projeto da página Endpoints de firewall lista todos os endpoints de firewall configurados no projeto atual.

  3. Clique no nome do endpoint do firewall para ver os detalhes.

gcloud

Para conferir detalhes de um endpoint de firewall, use o comando gcloud beta network-security firewall-endpoints describe:

gcloud beta network-security firewall-endpoints \
    describe NAME \
    --project PROJECT_ID \
    --zone ZONE

Substitua:

  • NAME: o nome do endpoint de firewall.

  • PROJECT_ID: o projeto em que o endpoint está ativado.

  • ZONE: a zona em que o endpoint está ativado.

Listar endpoints no nível do projeto

Para listar todos os endpoints de firewall no nível do projeto, use o console Google Cloud ou a CLI gcloud.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione o projeto em que o endpoint existe.

    A seção Endpoints de firewall localizados neste projeto da página Endpoints de firewall lista todos os endpoints de firewall configurados no projeto atual.

gcloud

Para listar todos os endpoints de firewall, use o comando gcloud beta network-security firewall-endpoints list:

gcloud beta network-security firewall-endpoints list \
    --project PROJECT_ID \
    --zone ZONE

Substitua:

  • PROJECT_ID: o projeto em que o endpoint está ativado.

  • ZONE: a zona em que o endpoint está ativado. Para listar endpoints em todas as zonas, use -.

Atualizar endpoint para envolvidos no projeto

Para atualizar um endpoint de firewall para envolvidos no projeto, use a CLI gcloud. É possível gerenciar rótulos ou atualizar a descrição de um endpoint de firewall.

gcloud

Para atualizar um endpoint de firewall, use o comando gcloud beta network-security firewall-endpoints update:

gcloud beta network-security firewall-endpoints \
    update NAME \
    --project PROJECT_ID \
    --zone ZONE

Substitua:

  • NAME: o nome do endpoint de firewall.

  • PROJECT_ID: o projeto em que o endpoint está ativado.

  • ZONE: a zona em que o endpoint está ativado.

Para informações sobre os tamanhos de pacote compatíveis com endpoints de firewall, consulte Tamanho de pacote compatível.

Excluir endpoints no nível do projeto

Para excluir um endpoint de firewall no nível do projeto, use a CLI gcloud.

gcloud

Para excluir um endpoint de firewall, use o comando gcloud network-security firewall-endpoints delete:

gcloud beta network-security firewall-endpoints delete NAME
    --project PROJECT_ID \
    --zone ZONE

Substitua:

  • NAME: o nome do endpoint de firewall.

  • PROJECT_ID: o projeto em que o endpoint está ativado.

  • ZONE: a zona em que o endpoint está ativado.

Gerenciar associações de endpoint de firewall

Uma associação de endpoint de firewall conecta um endpoint de firewall a uma rede VPC em uma zona específica.

Verifique se você tem um endpoint de firewall antes de gerenciar as associações dele. Para criar uma associação, consulte Criar endpoints e associações de firewall.

Requisitos de associação

Ao configurar associações de endpoints, siga estes requisitos:

  • Restrições de zona:é necessário criar a associação na mesma zona que o endpoint de firewall. Para uma inspeção de tráfego eficaz, crie associações em zonas onde as instâncias de computação estão implantadas.
  • Um endpoint por zona:em uma única zona, é possível associar uma rede VPC a apenas um endpoint de firewall (no nível do projeto (prévia) ou da organização). No entanto, é possível associar uma única rede VPC a diferentes endpoints de firewall em várias zonas.
  • Associações entre projetos:é possível associar uma rede VPC a um endpoint de firewall em um projeto separado.
    • Se você usar um endpoint para envolvidos no projeto (prévia), o projeto do endpoint precisa estar na mesma organização que a rede VPC.
  • Mapeamento de recursos:uma associação é um recurso para envolvidos no projeto. Você cria a associação no projeto específico em que as instâncias de computação estão implantadas, mesmo que ela aponte para um endpoint de firewall no nível da organização.

Um endpoint de firewall com suporte a frames jumbo só pode aceitar pacotes de até 8.500 bytes. Como alternativa, um endpoint de firewall sem suporte a frames jumbo pode aceitar pacotes de até 1.460 bytes. Se você precisar de um serviço de filtragem de URL ou de detecção e prevenção de intrusão, recomendamos que configure as redes VPC associadas para usar os limites de unidade máxima de transmissão (MTU) de 8.500 bytes e 1.460 bytes. Para mais informações, consulte Tamanho de pacote compatível.

Visualizar uma associação de endpoint de firewall

Para conferir detalhes de uma associação de endpoint de firewall no nível da organização ou do projeto, use a CLI gcloud.

gcloud

Para conferir uma associação de endpoint de firewall, use o comando gcloud network-security firewall-endpoint-associations describe.

Endpoint de firewall no nível da organização

gcloud network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Endpoint de firewall para envolvidos no projeto

gcloud beta network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Substitua:

  • NAME: o nome da associação do endpoint de firewall.

  • ZONE: a zona da associação do endpoint de firewall.

  • PROJECT_ID: o ID do projeto Google Cloud em que a associação é criada.

Listar todas as associações de endpoints de firewall

Para listar todas as associações de endpoints de firewall no nível da organização e do projeto, use o consoleGoogle Cloud ou a CLI gcloud.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione seu Google Cloud projeto.

    Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall de endpoints no nível da organização e para envolvidos no projeto.

gcloud

Para listar as associações de endpoints de firewall de uma rede específica, use o comando gcloud network-security firewall-endpoint-associations list com a flag --filter.

Endpoint de firewall no nível da organização

gcloud network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Endpoint de firewall para envolvidos no projeto

gcloud beta network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Substitua:

  • NETWORK_NAME: o nome da rede VPC.
  • PROJECT_ID: o ID do projeto Google Cloud em que a associação de endpoint de firewall é criada.

Editar uma associação de endpoint de firewall

Para editar uma associação de endpoint de firewall no nível da organização, use o console doGoogle Cloud ou a CLI gcloud. Para editar uma associação de endpoint de firewall no nível do projeto, use a CLI gcloud.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione seu Google Cloud projeto.

    Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas para este projeto.

  3. Ao lado da associação de endpoint de firewall que você quer atualizar, clique em Editar.

  4. Para desativar a associação de endpoint de firewall, desmarque a caixa de seleção Ativar associação.

  5. Para atualizar a política de inspeção da TLS, selecione uma nova política na lista Política de inspeção da TLS.

  6. Clique em Salvar.

gcloud

Para atualizar uma associação de endpoint de firewall, use o comando gcloud network-security firewall-endpoint-associations update.

Endpoint de firewall no nível da organização

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Endpoint de firewall para envolvidos no projeto

gcloud beta network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Substitua:

  • NAME: o nome da associação do endpoint de firewall.

  • ZONE: a zona da associação do endpoint de firewall.

  • PROJECT_ID: o ID do projeto Google Cloud em que a associação é criada.

  • TLS_PROJECT_NAME: o nome do projeto Google Cloud da política de inspeção de TLS.

  • REGION_NAME: o nome da região da política de inspeção da TLS.

  • TLS_POLICY_NAME: o nome da política de inspeção da TLS.

Excluir uma associação de endpoint de firewall

Para excluir uma associação de endpoint de firewall no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud. Para excluir uma associação de endpoint de firewall no nível do projeto, use a CLI gcloud.

Quando um projeto Google Cloud é excluído, as associações de endpoint de firewall associadas são removidas automaticamente. Essa exclusão é irreversível, mesmo que o projeto seja restaurado mais tarde.

No entanto, o processo de exclusão dessas associações pode falhar. Se isso acontecer e o projeto for restaurado, os endpoints de firewall associados vão aparecer no estado ORPHAN no projeto restaurado. Isso indica a vinculação interrompida entre o projeto e os recursos devido à exclusão malsucedida.

É possível visualizar essas associações órfãs no console Google Cloud , mas não é possível editá-las. O Cloud Next Generation Firewall executa periodicamente um processo em segundo plano que exclui esses recursos órfãos.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione seu Google Cloud projeto.

    Na seção Associações de endpoint de firewall, a tabela lista todas as associações de endpoint de firewall configuradas para este projeto.

  3. Selecione a associação de endpoint do firewall e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

gcloud

Para excluir uma associação de endpoint de firewall, use o comando gcloud network-security firewall-endpoint-associations delete.

Endpoint de firewall no nível da organização

gcloud network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Endpoint de firewall para envolvidos no projeto

gcloud beta network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Substitua:

  • NAME: o nome da associação do endpoint de firewall.

  • ZONE: a zona da associação do endpoint de firewall.

  • PROJECT_ID: o ID do projeto Google Cloud em que a associação é criada.

A seguir