Questa pagina spiega come creare e gestire le associazioni di endpoint firewall utilizzando la console Trusted Cloud e Google Cloud CLI.
Quando associ un endpoint firewall a una o più reti Virtual Private Cloud (VPC), crei l'associazione nella stessa zona dell'endpoint firewall. Puoi anche associare endpoint firewall in zone diverse a una rete VPC.
Prima di iniziare
Devi abilitare l'API Compute Engine nel tuo progetto Trusted Cloud .
Devi abilitare l'API Network Security nel tuo progetto Trusted Cloud .
Devi abilitare l'API Certificate Authority Service nel tuo progetto Trusted Cloud .
Installa gcloud CLI se vuoi eseguire gli esempi di riga di comando
gcloudin questa guida.Hai bisogno di un endpoint firewall.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare le associazioni di endpoint firewall, chiedi all'amministratore di concederti i ruoli IAM necessari nella tua organizzazione e nel tuo progetto. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.
Quote
Per visualizzare le quote per le associazioni di endpoint firewall, consulta Quote e limiti.
Crea associazioni di endpoint firewall
La consoleTrusted Cloud ti consente di creare associazioni di endpoint firewall per uno qualsiasi dei seguenti elementi:
Tutte queste opzioni creano la stessa associazione. L'unica differenza tra le associazioni create nella console Trusted Cloud è il punto di partenza del processo di creazione. Per le associazioni create utilizzando gcloud CLI, la procedura è la stessa per tutte le associazioni di endpoint firewall.
Crea associazioni di endpoint firewall per una rete VPC
Puoi associare uno o più endpoint firewall a una rete VPC specifica. Ciascuno degli endpoint firewall associati appartiene a una zona diversa all'interno della rete VPC.
Console
Nella console Trusted Cloud , vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall.
Fai clic su Crea associazione endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione dell'endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione dell'endpoint firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi associare a questa rete VPC.
Nell'elenco Policy di ispezione TLS, seleziona la policy di ispezione TLS che vuoi aggiungere a questa rete VPC.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il Trusted Cloud nome del progetto della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il Trusted Cloud nome del progetto della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.Questa policy viene utilizzata per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Crea associazioni di endpoint firewall per un endpoint firewall
Puoi associare una o più reti VPC a un endpoint firewall specifico nella stessa zona.
Console
Nella console Trusted Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore di progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzarne i dettagli.
Fai clic su Crea associazione endpoint.
Fai clic su Aggiungi associazione endpoint.
Nell'elenco Progetto, seleziona il progetto Trusted Cloud in cui vuoi creare l'associazione di endpoint firewall.
Se l'API Compute Engine e l'API Network Security non sono abilitate per il progetto Trusted Cloud , fai clic su Abilita.
Nell'elenco Rete, seleziona la rete da associare all'endpoint firewall.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Per aggiungere un'altra associazione, fai clic su Aggiungi associazione endpoint.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il Trusted Cloud nome del progetto della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il Trusted Cloud nome del progetto della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.Questa policy viene utilizzata per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Crea associazioni di endpoint firewall in un progetto
Puoi aggiungere più associazioni di endpoint firewall a un progetto specifico.
Console
Nella console Trusted Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo Trusted Cloud progetto.
Fai clic su Crea associazione endpoint.
Nell'elenco Regione, seleziona la regione in cui vuoi creare l'associazione dell'endpoint firewall.
Nell'elenco Zona, seleziona la zona in cui vuoi creare l'associazione dell'endpoint firewall.
Nell'elenco Endpoint firewall, seleziona l'endpoint firewall che vuoi aggiungere all'associazione.
Nell'elenco Emittente, seleziona l'emittente che vuoi aggiungere all'associazione.
In Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che vuoi aggiungere a questa associazione.
Fai clic su Crea.
gcloud
Per creare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ORGANIZATION_ID: l'identificatore dell'organizzazione in cui viene creato l'endpoint firewall.ZONE: la zona dell'endpoint firewall.FIREWALL_ENDPOINT_NAME: il nome dell'endpoint firewall.PROJECT_NAME: il Trusted Cloud nome del progetto della rete.NETWORK_NAME: il nome della rete.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il Trusted Cloud nome del progetto della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.Questa policy viene utilizzata per l'ispezione TLS del traffico criptato sulla rete specificata. Questo è un argomento facoltativo.
Visualizza un'associazione di endpoint firewall
Puoi visualizzare i dettagli di un'associazione di endpoint firewall specifica in una zona.
gcloud
Per visualizzare un'associazione di endpoint firewall, utilizza il comando gcloud network-security
firewall-endpoint-associations describe:
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l' Trusted Cloud ID progetto dell'associazione dell'endpoint firewall.
Elenca le associazioni di endpoint firewall
Puoi elencare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall.
Elenca tutte le associazioni di endpoint firewall per una rete VPC
Puoi elencare tutte le associazioni di endpoint firewall per una rete VPC specifica.
Console
Nella console Trusted Cloud , vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
gcloud
Per elencare le associazioni di endpoint firewall per una rete specifica, utilizza il
comando gcloud network-security firewall-endpoint-associations list
con il flag --filter:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC.PROJECT_ID: l'ID progetto Trusted Cloud dell'associazione dell'endpoint firewall.
Elenca tutte le associazioni di endpoint firewall per un endpoint firewall
Puoi elencare tutte le associazioni di un endpoint firewall specifico.
Console
Nella console Trusted Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore di progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzarne i dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
gcloud
Per elencare le associazioni di endpoint firewall per un endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations list
con il flag --zone:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
ZONE: la zona dell'endpoint firewall. Per elencare le associazioni di endpoint firewall in tutte le zone, utilizza-.PROJECT_ID: l'ID progetto Trusted Cloud dell'associazione dell'endpoint firewall.
Elenca tutte le associazioni di endpoint firewall in un progetto
Puoi elencare tutte le associazioni di endpoint firewall in un progetto specifico.
Console
Nella console Trusted Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo Trusted Cloud progetto.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
gcloud
Per elencare le associazioni di endpoint firewall in un progetto, utilizza il comando gcloud network-security firewall-endpoint-associations list:
gcloud network-security firewall-endpoint-associations list \ [ --project PROJECT_ID ]
Sostituisci quanto segue:
PROJECT_ID: l'ID progetto Trusted Cloud dell'associazione dell'endpoint firewall.
Modifica le associazioni di endpoint firewall
Trusted Cloud consente di modificare le associazioni di endpoint firewall per una rete, un progetto o un endpoint firewall. Le istruzioni dell'interfaccia a riga di comando gcloud per modificare le associazioni di endpoint firewall sono le stesse per tutte queste opzioni.
Modifica un'associazione di endpoint firewall per una rete VPC
Puoi modificare un'associazione di endpoint firewall per una zona specifica in una rete VPC.
Console
Nella console Trusted Cloud , vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
Fai clic su Modifica accanto all'associazione dell'endpoint firewall che vuoi aggiornare.
Per disattivare l'associazione di endpoint firewall, deseleziona la casella di controllo Abilita associazione.
Per aggiornare la policy di ispezione TLS, seleziona una nuova policy dall'elenco Policy di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il Trusted Cloud nome del progetto della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.
Modifica un'associazione di endpoint firewall per un endpoint firewall
Puoi modificare un'associazione per un endpoint firewall specifico.
Console
Nella console Trusted Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore di progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzarne i dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
Fai clic su Modifica accanto all'associazione dell'endpoint firewall che vuoi aggiornare.
Per disattivare l'associazione di endpoint firewall, deseleziona la casella di controllo Abilita associazione.
Per aggiornare la policy di ispezione TLS, seleziona una nuova policy dall'elenco Policy di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il Trusted Cloud nome del progetto della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.
Modifica un'associazione di endpoint firewall in un progetto
Puoi modificare un'associazione di endpoint firewall in un progetto specifico.
Console
Nella console Trusted Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo Trusted Cloud progetto.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Accanto all'associazione dell'endpoint firewall che vuoi aggiornare, fai clic su Modifica.
Per disattivare l'associazione di endpoint firewall, deseleziona la casella di controllo Abilita associazione.
Per aggiornare la policy di ispezione TLS, seleziona una nuova policy dall'elenco Policy di ispezione TLS.
Fai clic su Salva.
gcloud
Per aggiornare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.TLS_PROJECT_NAME: il Trusted Cloud nome del progetto della policy di ispezione TLS.REGION_NAME: il nome della regione della policy di ispezione TLS.TLS_POLICY_NAME: il nome della policy di ispezione TLS.
Elimina un'associazione di endpoint firewall
La consoleTrusted Cloud ti consente di eliminare le associazioni di endpoint firewall da una rete, un progetto o un endpoint firewall.
Quando un progetto Trusted Cloud viene eliminato, le associazioni di endpoint firewall associate vengono rimosse automaticamente. Questa eliminazione è irreversibile, anche se il progetto viene ripristinato in un secondo momento.
Tuttavia, a volte il processo di eliminazione di queste associazioni potrebbe non riuscire.
Se ciò accade e il progetto viene ripristinato, gli endpoint firewall associati
vengono visualizzati nello stato ORPHAN all'interno del progetto ripristinato. Ciò
indica il collegamento interrotto tra il progetto e le relative risorse a causa
dell'eliminazione non riuscita.
Puoi visualizzare queste associazioni orfane nella console Trusted Cloud , ma non puoi modificarle. Cloud Next Generation Firewall esegue periodicamente un processo in background che elimina queste risorse orfane.
Elimina un'associazione di endpoint firewall per una rete VPC
Puoi eliminare un'associazione di endpoint firewall per una zona specifica in una rete VPC.
Console
Nella console Trusted Cloud , vai alla pagina Reti VPC.
Fai clic sul nome di una rete VPC per visualizzare la pagina Dettagli rete VPC.
Seleziona la scheda Endpoint firewall. La scheda mostra un elenco di associazioni di endpoint firewall configurate.
Seleziona l'associazione degli endpoint firewall, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.
Elimina un'associazione di endpoint firewall per un endpoint firewall
Puoi eliminare un'associazione per un endpoint firewall specifico.
Console
Nella console Trusted Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore di progetti, seleziona la tua organizzazione.
Fai clic sull'endpoint firewall per visualizzarne i dettagli.
Nella pagina Dettagli endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate.
Seleziona l'associazione degli endpoint firewall, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.
Elimina un'associazione di endpoint firewall in un progetto
Puoi eliminare un'associazione di endpoint firewall in un progetto specifico.
Console
Nella console Trusted Cloud , vai alla pagina Endpoint firewall.
Nel menu del selettore dei progetti, seleziona il tuo Trusted Cloud progetto.
Nella sezione Associazioni di endpoint firewall, la tabella elenca tutte le associazioni di endpoint firewall configurate per questo progetto.
Seleziona l'associazione degli endpoint firewall, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un'associazione di endpoint firewall, utilizza il
comando gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Sostituisci quanto segue:
NAME: il nome dell'associazione degli endpoint firewall.ZONE: la zona dell'associazione di endpoint firewall.PROJECT_ID: l'ID progetto Trusted Cloud in cui viene creata l'associazione.