本頁面說明如何使用Google Cloud 控制台和 Google Cloud CLI 管理防火牆端點,並將其與虛擬私有雲 (VPC) 網路建立關聯。詳情請參閱「防火牆端點總覽」。
如要瞭解如何建立防火牆端點,請參閱「建立防火牆端點」。
如要查看本頁列出的作業進度,請確認您的使用者角色具備下列 Compute 網路使用者 (roles/compute.networkUser) 權限:
networksecurity.operations.getnetworksecurity.operations.list
事前準備
您必須在 Google Cloud 專案中啟用 Compute Engine API。
您必須在要用於帳單的 Google Cloud 專案中啟用 Network Security API。
您必須在 Google Cloud 專案中啟用 憑證授權單位服務 API。
如要執行本指南中的
gcloud指令列範例,請安裝 gcloud CLI。
角色
如要取得建立、查看、更新或刪除防火牆端點所需的權限,請要求管理員在您的組織或專案中,授予您必要的 IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理存取權」。
配額
如要查看防火牆端點和關聯的配額,請參閱「配額與限制」。
查看防火牆端點
您可以查看特定防火牆端點的詳細資料。
機構層級端點
如要查看機構層級防火牆端點的詳細資料,請使用Google Cloud 控制台或 gcloud CLI。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取啟用端點的機構。
「防火牆端點」頁面會列出機構中所有已設定的防火牆端點。
按一下防火牆端點名稱,即可查看詳細資料。
gcloud
如要查看防火牆端點的詳細資料,請使用 gcloud network-security
firewall-endpoints describe 指令:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。
專案層級端點
如要查看專案層級防火牆端點的詳細資料,請使用 gcloud CLI。
gcloud
如要查看防火牆端點的詳細資料,請使用 gcloud beta network-security
firewall-endpoints describe 指令:
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。PROJECT_ID:啟用端點的專案。ZONE:啟用端點的可用區。
列出防火牆端點
您可以列出機構或專案中的所有防火牆端點。
機構層級端點
如要列出所有機構層級的防火牆端點,請使用Google Cloud 控制台或 gcloud CLI。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取啟用端點的機構。
「防火牆端點」頁面會列出所有已設定的防火牆端點。
gcloud
如要列出所有防火牆端點,請使用 gcloud network-security
firewall-endpoints list 指令:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
更改下列內容:
ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。如要列出所有區域的端點,請使用-。BILLING_PROJECT_ID:選用的Google Cloud 專案 ID,作業會向這個專案收取配額費用。只有機構層級的防火牆端點需要這項設定。
專案層級端點
如要列出所有專案層級的防火牆端點,請使用 gcloud CLI。
gcloud
如要列出所有防火牆端點,請使用 gcloud beta network-security
firewall-endpoints list 指令:
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
更改下列內容:
PROJECT_ID:啟用端點的專案。ZONE:啟用端點的可用區。如要列出所有區域的端點,請使用-。
更新防火牆端點
您可以管理標籤或更新防火牆端點的說明。
機構層級端點
如要更新機構層級的防火牆端點,請使用Google Cloud 控制台或 gcloud CLI。您也可以更新機構中防火牆端點的帳單專案。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取啟用端點的機構。
「防火牆端點」頁面會列出所有已設定的防火牆端點。
按一下防火牆端點名稱,即可查看詳細資料。
按一下 [編輯]。
在「帳單專案」清單中,選取要用於防火牆端點帳單的 Google Cloud 專案。
按一下 [儲存]。
gcloud
如要更新防火牆端點,請使用 gcloud network-security
firewall-endpoints update 指令:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。BILLING_PROJECT_ID:您要與這個防火牆端點建立關聯的 Google Cloud 專案 ID,用於帳單結算。只有機構層級的防火牆端點需要這項設定。
如要瞭解防火牆端點支援的封包大小,請參閱「支援的封包大小」。
專案層級端點
如要更新專案層級的防火牆端點,請使用 gcloud CLI。您可以管理標籤或更新防火牆端點的說明。
gcloud
如要更新防火牆端點,請使用 gcloud beta network-security
firewall-endpoints update 指令:
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。PROJECT_ID:啟用端點的專案。ZONE:啟用端點的可用區。
如要瞭解防火牆端點支援的封包大小,請參閱「支援的封包大小」。
刪除防火牆端點
您可以指定防火牆端點的名稱、區域和機構/專案,藉此刪除端點。
機構層級端點
如要刪除機構層級的防火牆端點,請使用Google Cloud 控制台或 gcloud CLI。
控制台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取啟用端點的機構。
選取防火牆端點,然後按一下「Delete」(刪除)。
再按一下 [刪除] 加以確認。
gcloud
如要刪除防火牆端點,請使用 gcloud network-security
firewall-endpoints delete 指令:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。
專案層級端點
如要刪除專案層級的防火牆端點,請使用 gcloud CLI。
gcloud
如要刪除防火牆端點,請使用 gcloud network-security
firewall-endpoints delete 指令:
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。PROJECT_ID:啟用端點的專案。ZONE:啟用端點的可用區。