En esta página se explica cómo crear y gestionar asociaciones de endpoints de firewall mediante la consola de Google Cloud y la CLI de Google Cloud.
Cuando asocias un endpoint de cortafuegos con una o varias redes de nube privada virtual (VPC), creas la asociación en la misma zona del endpoint de cortafuegos. También puedes asociar endpoints de cortafuegos de diferentes zonas a una red de VPC.
Antes de empezar
Necesitas una red de VPC y una subred.
Debes habilitar la API Compute Engine en tu proyecto Google Cloud .
Debes habilitar la API Network Security en tu Google Cloud proyecto.
Debes habilitar la API Certificate Authority Service en tu Google Cloud proyecto.
Instala la CLI de gcloud si quieres ejecutar los ejemplos de línea de comandos
gcloudde esta guía.Necesitas un endpoint de cortafuegos.
Roles
Para obtener los permisos que necesitas para crear, ver, actualizar o eliminar asociaciones de endpoints de firewall, pide a tu administrador que te conceda los roles de gestión de identidades y accesos necesarios en tu organización y proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.
Cuotas
Para ver las cuotas de las asociaciones de endpoints de firewall, consulta Cuotas y límites.
Crear asociaciones de endpoints de cortafuegos
La consola deGoogle Cloud te permite crear asociaciones de endpoints de cortafuegos para cualquiera de los siguientes elementos:
Todas estas opciones crean la misma asociación. La única diferencia entre las asociaciones creadas en la consola Google Cloud es dónde se inicia el proceso de creación. En el caso de las asociaciones creadas con la CLI de gcloud, el proceso es el mismo para todas las asociaciones de endpoints de cortafuegos.
Crear asociaciones de endpoints de cortafuegos para una red VPC
Puedes asociar uno o varios endpoints de cortafuegos a una red VPC específica. Cada uno de los endpoints de cortafuegos asociados pertenece a una zona diferente de la red de VPC.
Consola
En la Google Cloud consola, ve a la página Redes de VPC.
Haz clic en el nombre de una red de VPC para ver su página Detalles de la red de VPC.
Seleccione la pestaña Endpoints de firewall.
Haga clic en Crear asociación de endpoint.
En la lista Región, selecciona la región en la que quieras crear la asociación de endpoint de firewall.
En la lista Zona, selecciona la zona en la que quieras crear la asociación de endpoint de firewall.
En la lista Endpoint de cortafuegos, selecciona el endpoint de cortafuegos que quieras asociar a esta red de VPC.
En la lista Política de inspección TLS, seleccione la política de inspección TLS que quiera añadir a esta red VPC.
Haz clic en Crear.
gcloud
Para crear una asociación de endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoint-associations create
comando:
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ORGANIZATION_ID: el identificador de la organización en la que se crea el endpoint del cortafuegos.ZONE: la zona del endpoint del cortafuegos.FIREWALL_ENDPOINT_NAME: el nombre del endpoint del cortafuegos.PROJECT_NAME: el nombre del proyecto de la red. Google CloudNETWORK_NAME: el nombre de la red.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google CloudTLS_PROJECT_NAME: el nombre del proyecto de la política de inspección de TLS. Google CloudREGION_NAME: el nombre de la región de la política de inspección TLS.TLS_POLICY_NAME: el nombre de la política de inspección TLS.Esta política se usa para la inspección TLS del tráfico cifrado en la red especificada. Este argumento es opcional.
Crear asociaciones de endpoints de cortafuegos para un endpoint de cortafuegos
Puede asociar una o varias redes de VPC a un endpoint de firewall específico de la misma zona.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en el endpoint del cortafuegos para ver sus detalles.
Haga clic en Crear asociación de endpoint.
Haz clic en Añadir asociación de endpoint.
En la lista Proyecto, selecciona el Google Cloud proyecto en el que quieras crear la asociación de endpoint de firewall.
Si las APIs Compute Engine y Network Security no están habilitadas en el proyecto Google Cloud , haga clic en Habilitar.
En la lista Red, selecciona la red que quieras asociar al endpoint del cortafuegos.
En la lista Política de inspección TLS, selecciona la política de inspección TLS que quieras añadir a esta asociación.
Para añadir otra asociación, haz clic en Añadir asociación de endpoint.
Haz clic en Crear.
gcloud
Para crear una asociación de endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoint-associations create
comando:
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ORGANIZATION_ID: el identificador de la organización en la que se crea el endpoint del cortafuegos.ZONE: la zona del endpoint del cortafuegos.FIREWALL_ENDPOINT_NAME: el nombre del endpoint del cortafuegos.PROJECT_NAME: el nombre del proyecto de la red. Google CloudNETWORK_NAME: el nombre de la red.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google CloudTLS_PROJECT_NAME: el nombre del proyecto de la política de inspección de TLS. Google CloudREGION_NAME: el nombre de la región de la política de inspección TLS.TLS_POLICY_NAME: el nombre de la política de inspección TLS.Esta política se usa para la inspección TLS del tráfico cifrado en la red especificada. Este argumento es opcional.
Crear asociaciones de puntos finales de cortafuegos en un proyecto
Puede añadir varias asociaciones de endpoints de firewall a un proyecto específico.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú del selector de proyectos, selecciona tu Google Cloud proyecto.
Haga clic en Crear asociación de endpoint.
En la lista Región, selecciona la región en la que quieras crear la asociación de endpoint de firewall.
En la lista Zona, selecciona la zona en la que quieras crear la asociación de endpoint de firewall.
En la lista Endpoint de firewall, seleccione el endpoint de firewall que quiera añadir a la asociación.
En la lista Red, selecciona la red que quieras añadir a la asociación.
En la política de inspección TLS, selecciona la política de inspección TLS que quieras añadir a esta asociación.
Haz clic en Crear.
gcloud
Para crear una asociación de endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoint-associations create
comando:
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ORGANIZATION_ID: el identificador de la organización en la que se crea el endpoint del firewall.ZONE: la zona del endpoint del cortafuegos.FIREWALL_ENDPOINT_NAME: el nombre del endpoint del cortafuegos.PROJECT_NAME: el Google Cloud nombre del proyecto de la red.NETWORK_NAME: el nombre de la red.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google CloudTLS_PROJECT_NAME: el nombre del proyecto de la política de inspección de TLS. Google CloudREGION_NAME: el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME: el nombre de la política de inspección TLS.Esta política se usa para la inspección TLS del tráfico cifrado en la red especificada. Este argumento es opcional.
Ver una asociación de endpoint de cortafuegos
Puedes ver los detalles de una asociación de endpoint de cortafuegos específica en una zona.
gcloud
Para ver una asociación de endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoint-associations describe
comando:
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ZONE: la zona de la asociación de endpoint de cortafuegos.PROJECT_ID: el Google Cloud ID de proyecto de la asociación de endpoint de firewall.
Mostrar asociaciones de endpoints de cortafuegos
Puedes enumerar las asociaciones de puntos finales de cortafuegos de una red, un proyecto o un punto final de cortafuegos.
Lista de todas las asociaciones de endpoints de cortafuegos de una red de VPC
Puedes enumerar todas las asociaciones de endpoints de cortafuegos de una red VPC específica.
Consola
En la Google Cloud consola, ve a la página Redes de VPC.
Haz clic en el nombre de una red de VPC para ver su página Detalles de la red de VPC.
Seleccione la pestaña Endpoints de firewall. En la pestaña se muestra una lista de asociaciones de puntos finales de cortafuegos configuradas.
gcloud
Para enumerar las asociaciones de endpoints de cortafuegos de una red específica, usa el comando gcloud network-security firewall-endpoint-associations list
con la marca --filter:
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Haz los cambios siguientes:
NETWORK_NAME: nombre de la red de VPC.PROJECT_ID: el Google Cloud ID de proyecto de la asociación de endpoint de firewall.
Mostrar todas las asociaciones de endpoints de cortafuegos de un endpoint de cortafuegos
Puedes enumerar todas las asociaciones de un endpoint de firewall específico.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en el endpoint del cortafuegos para ver sus detalles.
En la página Detalles del endpoint de cortafuegos, la tabla muestra todas las asociaciones de endpoints de cortafuegos configuradas.
gcloud
Para enumerar las asociaciones de puntos de conexión de cortafuegos de un punto de conexión de cortafuegos, usa el comando gcloud network-security firewall-endpoint-associations list con la marca --zone:
gcloud network-security firewall-endpoint-associations list \
--zone ZONE \
[ --project PROJECT_ID ]
Haz los cambios siguientes:
ZONE: la zona del endpoint del cortafuegos. Para enumerar las asociaciones de endpoints de firewall en todas las zonas, usa-.PROJECT_ID: el Google Cloud ID de proyecto de la asociación de endpoint de firewall.
Mostrar todas las asociaciones de endpoints de cortafuegos de un proyecto
Puedes enumerar todas las asociaciones de endpoints de firewall de un proyecto específico.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú del selector de proyectos, selecciona tu Google Cloud proyecto.
En la sección Asociaciones de endpoints de cortafuegos, la tabla muestra todas las asociaciones de endpoints de cortafuegos configuradas en este proyecto.
gcloud
Para enumerar las asociaciones de puntos finales de cortafuegos de un proyecto, usa el gcloud
network-security firewall-endpoint-associations list
comando:
gcloud network-security firewall-endpoint-associations list \
[--project PROJECT_ID ]
Haz los cambios siguientes:
PROJECT_ID: el Google Cloud ID de proyecto de la asociación de endpoint de firewall.
Editar asociaciones de endpoints de cortafuegos
LaGoogle Cloud consola le permite editar las asociaciones de endpoints de cortafuegos de una red, un proyecto o un endpoint de cortafuegos. Las instrucciones de la CLI de gcloud para editar las asociaciones de endpoints de cortafuegos son las mismas para todas estas opciones.
Editar una asociación de endpoint de cortafuegos de una red de VPC
Puedes editar una asociación de endpoint de firewall para una zona específica de una red de VPC.
Consola
En la Google Cloud consola, ve a la página Redes de VPC.
Haz clic en el nombre de una red de VPC para ver su página Detalles de la red de VPC.
Seleccione la pestaña Endpoints de firewall. En la pestaña se muestra una lista de asociaciones de puntos finales de cortafuegos configuradas.
Haga clic en Editar junto a la asociación de endpoint de firewall que quiera actualizar.
Para inhabilitar la asociación de endpoints del cortafuegos, desmarca la casilla Habilitar asociación.
Para actualizar la política de inspección TLS, selecciona una nueva política de la lista Política de inspección TLS.
Haz clic en Guardar.
gcloud
Para actualizar una asociación de endpoint de cortafuegos, usa el comando gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ZONE: la zona de la asociación de endpoint de cortafuegos.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google CloudTLS_PROJECT_NAME: el nombre del proyecto de la política de inspección de TLS. Google CloudREGION_NAME: el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME: el nombre de la política de inspección TLS.
Editar una asociación de endpoint de cortafuegos para un endpoint de cortafuegos
Puedes editar una asociación de un endpoint de cortafuegos específico.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en el endpoint del cortafuegos para ver sus detalles.
En la página Detalles del endpoint de cortafuegos, la tabla muestra todas las asociaciones de endpoints de cortafuegos configuradas.
Haga clic en Editar junto a la asociación de endpoint de firewall que quiera actualizar.
Para inhabilitar la asociación de endpoints del cortafuegos, desmarca la casilla Habilitar asociación.
Para actualizar la política de inspección TLS, selecciona una nueva política de la lista Política de inspección TLS.
Haz clic en Guardar.
gcloud
Para actualizar una asociación de endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoint-associations update
comando:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ZONE: la zona de la asociación de endpoint de cortafuegos.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google CloudTLS_PROJECT_NAME: el nombre del proyecto de la política de inspección de TLS. Google CloudREGION_NAME: el nombre de la región de la política de inspección TLS.TLS_POLICY_NAME: el nombre de la política de inspección TLS.
Editar una asociación de endpoint de cortafuegos en un proyecto
Puedes editar una asociación de endpoint de cortafuegos en un proyecto específico.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú del selector de proyectos, selecciona tu Google Cloud proyecto.
En la sección Asociaciones de endpoints de cortafuegos, la tabla muestra todas las asociaciones de endpoints de cortafuegos configuradas en este proyecto.
Junto a la asociación de endpoint de firewall que quieras actualizar, haz clic en Editar.
Para inhabilitar la asociación de endpoints del cortafuegos, desmarca la casilla Habilitar asociación.
Para actualizar la política de inspección TLS, selecciona una nueva política de la lista Política de inspección TLS.
Haz clic en Guardar.
gcloud
Para actualizar una asociación de endpoint de cortafuegos, usa el gcloud network-security
firewall-endpoint-associations update
comando:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ZONE: la zona de la asociación de endpoint de cortafuegos.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google CloudTLS_PROJECT_NAME: el nombre del proyecto de la política de inspección de TLS. Google CloudREGION_NAME: el nombre de la región de la política de inspección de TLS.TLS_POLICY_NAME: el nombre de la política de inspección TLS.
Eliminar una asociación de endpoint de cortafuegos
La consola deGoogle Cloud le permite eliminar las asociaciones de puntos finales de cortafuegos de una red, un proyecto o un punto final de cortafuegos.
Cuando se elimina un Google Cloud proyecto, se quitan automáticamente sus asociaciones de endpoint de firewall. Esta acción es irreversible, aunque se restaure el proyecto más adelante.
Sin embargo, a veces puede que no se puedan eliminar estas asociaciones.
Si esto ocurre y el proyecto se restaura, los endpoints de cortafuegos asociados aparecerán en estado ORPHAN en el proyecto restaurado. Esto indica que el enlace entre el proyecto y sus recursos se ha roto porque no se ha podido eliminar.
Puedes ver estas asociaciones huérfanas en la consola Google Cloud , pero no editarlas. Cloud Next Generation Firewall ejecuta periódicamente un proceso en segundo plano que elimina estos recursos huérfanos.
Eliminar una asociación de endpoint de cortafuegos de una red de VPC
Puedes eliminar una asociación de endpoint de cortafuegos de una zona específica de una red de VPC.
Consola
En la Google Cloud consola, ve a la página Redes de VPC.
Haz clic en el nombre de una red de VPC para ver su página Detalles de la red de VPC.
Seleccione la pestaña Endpoints de firewall. En la pestaña se muestra una lista de asociaciones de puntos finales de cortafuegos configuradas.
Seleccione la asociación de endpoint de firewall y, a continuación, haga clic en Eliminar.
Haz clic en Eliminar de nuevo para confirmar la acción.
gcloud
Para eliminar una asociación de punto final de cortafuegos, usa el comando gcloud network-security
firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ZONE: la zona de la asociación de endpoint de cortafuegos.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google Cloud
Eliminar una asociación de endpoint de cortafuegos de un endpoint de cortafuegos
Puedes eliminar una asociación de un endpoint de cortafuegos específico.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en el endpoint del cortafuegos para ver sus detalles.
En la página Detalles del endpoint de cortafuegos, la tabla muestra todas las asociaciones de endpoints de cortafuegos configuradas.
Seleccione la asociación de endpoint de firewall y, a continuación, haga clic en Eliminar.
Haz clic en Eliminar de nuevo para confirmar la acción.
gcloud
Para eliminar una asociación de punto final de cortafuegos, usa el comando gcloud network-security
firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ZONE: la zona de la asociación de endpoint de cortafuegos.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google Cloud
Eliminar una asociación de endpoint de cortafuegos en un proyecto
Puedes eliminar una asociación de endpoint de cortafuegos en un proyecto específico.
Consola
En la Google Cloud consola, ve a la página Endpoints de cortafuegos.
En el menú del selector de proyectos, selecciona tu Google Cloud proyecto.
En la sección Asociaciones de endpoints de cortafuegos, la tabla muestra todas las asociaciones de endpoints de cortafuegos configuradas en este proyecto.
Seleccione la asociación de endpoint de firewall y, a continuación, haga clic en Eliminar.
Haz clic en Eliminar de nuevo para confirmar la acción.
gcloud
Para eliminar una asociación de punto final de cortafuegos, usa el comando gcloud network-security
firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Haz los cambios siguientes:
NAME: el nombre de la asociación del endpoint del cortafuegos.ZONE: la zona de la asociación de endpoint de cortafuegos.PROJECT_ID: el ID del proyecto en el que se crea la asociación. Google Cloud
Siguientes pasos
- Utilizar reglas y políticas de cortafuegos jerárquicas
- Usar reglas y políticas de cortafuegos de red globales