ファイアウォール エンドポイントの関連付けの作成と管理

このページでは、Google Cloud コンソールと Google Cloud CLI を使用して、ファイアウォール エンドポイントの関連付けを作成して管理する方法について説明します。

ファイアウォール エンドポイントを 1 つ以上の Virtual Private Cloud(VPC)ネットワークに関連付ける場合、ファイアウォール エンドポイントと同じゾーンに関連付けを作成します。異なるゾーンにあるファイアウォール エンドポイントを VPC ネットワークに関連付けることもできます。

始める前に

ロール

ファイアウォール エンドポイントの関連付けの作成、表示、更新、削除を行うために必要な権限を取得するには、組織とプロジェクトに必要な IAM ロールを付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

割り当て

ファイアウォール エンドポイントの関連付けの割り当てについては、割り当てと上限をご覧ください。

ファイアウォール エンドポイントの関連付けを作成する

Google Cloud コンソールで、次のいずれかにファイアウォール エンドポイントの関連付けを作成できます。

どのオプションを選択しても同じ関連付けが作成されます。Google Cloud コンソールで関連付けの作成を開始する場所が異なるだけです。gcloud CLI で関連付けを作成する場合、どのファイアウォール エンドポイントの関連付けでもプロセスは同じです。

VPC ネットワークにファイアウォール エンドポイントの関連付けを作成する

1 つ以上のファイアウォール エンドポイントを特定の VPC ネットワークに関連付けることができます。関連付けられたファイアウォール エンドポイントは、それぞれ VPC ネットワーク内の異なるゾーンに属します。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. VPC ネットワークの名前をクリックして、[VPC ネットワークの詳細] ページを表示します。

  3. [ファイアウォール エンドポイント] タブを選択します。

  4. [エンドポイントの関連付けを作成] をクリックします。

  5. [リージョン] リストで、ファイアウォール エンドポイントの関連付けを作成するリージョンを選択します。

  6. [ゾーン] リストで、ファイアウォール エンドポイントの関連付けを作成するゾーンを選択します。

  7. [ファイアウォール エンドポイント] リストで、この VPC ネットワークに関連付けるファイアウォール エンドポイントを選択します。

  8. [TLS インスペクション ポリシー] リストで、この VPC ネットワークに追加する TLS インスペクション ポリシーを選択します。

  9. [作成] をクリックします。

gcloud

ファイアウォール エンドポイントの関連付けを作成するには、gcloud network-security firewall-endpoint-associations create コマンドを使用します。

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy  projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ORGANIZATION_ID: ファイアウォール エンドポイントが作成される組織 ID。

  • ZONE: ファイアウォール エンドポイントのゾーン。

  • FIREWALL_ENDPOINT_NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_NAME: ネットワークの Google Cloud プロジェクト名。

  • NETWORK_NAME: ネットワークの名前。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

  • TLS_PROJECT_NAME: TLS インスペクション ポリシーの Google Cloud プロジェクト名。

  • REGION_NAME: TLS インスペクション ポリシーのリージョン名。

  • TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。

    このポリシーは、指定したネットワーク上の暗号化されたトラフィックの TLS インスペクションに使用されます。これは省略可能な引数です。

ファイアウォール エンドポイントにファイアウォール エンドポイントの関連付けを作成する

1 つまたは複数の VPC ネットワークを同じゾーン内の特定のファイアウォール エンドポイントに関連付けることができます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. ファイアウォール エンドポイントをクリックして詳細を表示します。

  4. [エンドポイントの関連付けを作成] をクリックします。

  5. [エンドポイントの関連付けを追加] をクリックします。

  6. [プロジェクト] リストで、ファイアウォール エンドポイントの関連付けを作成する Google Cloud プロジェクトを選択します。

    Google Cloud プロジェクトで Compute Engine API と Network Security API が有効になっていない場合は、[有効にする] をクリックします。

  7. [ネットワーク] リストで、ファイアウォール エンドポイントに関連付けるネットワークを選択します。

  8. [TLS インスペクション ポリシー] リストで、この関連付けに追加する TLS インスペクション ポリシーを選択します。

  9. 別の関連付けを追加するには、[エンドポイントの関連付けを追加] をクリックします。

  10. [作成] をクリックします。

gcloud

ファイアウォール エンドポイントの関連付けを作成するには、gcloud network-security firewall-endpoint-associations create コマンドを使用します。

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。
  • ORGANIZATION_ID: ファイアウォール エンドポイントが作成される組織 ID。

  • ZONE: ファイアウォール エンドポイントのゾーン。

  • FIREWALL_ENDPOINT_NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_NAME: ネットワークの Google Cloud プロジェクト名。

  • NETWORK_NAME: ネットワークの名前。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

  • TLS_PROJECT_NAME: TLS インスペクション ポリシーの Google Cloud プロジェクト名。

  • REGION_NAME: TLS インスペクション ポリシーのリージョン名。

  • TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。

    このポリシーは、指定したネットワーク上の暗号化されたトラフィックの TLS インスペクションに使用されます。これは省略可能な引数です。

プロジェクトにファイアウォール エンドポイントの関連付けを作成する

特定のプロジェクトに複数のファイアウォール エンドポイントの関連付けを追加できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、Google Cloud プロジェクトを選択します。

  3. [エンドポイントの関連付けを作成] をクリックします。

  4. [リージョン] リストで、ファイアウォール エンドポイントの関連付けを作成するリージョンを選択します。

  5. [ゾーン] リストで、ファイアウォール エンドポイントの関連付けを作成するゾーンを選択します。

  6. [ファイアウォール エンドポイント] リストで、関連付けに追加するファイアウォール エンドポイントを選択します。

  7. [ネットワーク] リストで、関連付けに追加するネットワークを選択します。

  8. [TLS インスペクション ポリシー] で、この関連付けに追加する TLS インスペクション ポリシーを選択します。

  9. [作成] をクリックします。

gcloud

ファイアウォール エンドポイントの関連付けを作成するには、gcloud network-security firewall-endpoint-associations create コマンドを使用します。

gcloud network-security firewall-endpoint-associations \
   create NAME \
   --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
   --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
   --zone ZONE \
   --project PROJECT_ID \
   --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ORGANIZATION_ID: ファイアウォール エンドポイントが作成される組織 ID。

  • ZONE: ファイアウォール エンドポイントのゾーン。

  • FIREWALL_ENDPOINT_NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_NAME: ネットワークの Google Cloud プロジェクト名。

  • NETWORK_NAME: ネットワークの名前。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

  • TLS_PROJECT_NAME: TLS インスペクション ポリシーの Google Cloud プロジェクト名。

  • REGION_NAME: TLS インスペクション ポリシーのリージョン名。

  • TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。

    このポリシーは、指定したネットワーク上の暗号化されたトラフィックの TLS インスペクションに使用されます。これは省略可能な引数です。

ファイアウォール エンドポイントの関連付けを表示する

ゾーン内の特定のファイアウォール エンドポイントの関連付けの詳細を表示できます。

gcloud

gcloud network-security firewall-endpoint-associations \
   describe NAME \
   --zone ZONE \
   --project PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: ファイアウォール エンドポイントの関連付けの Google Cloud プロジェクト ID。

ファイアウォール エンドポイントの関連付けを一覧表示する

ネットワーク、プロジェクト、ファイアウォール エンドポイントのファイアウォール エンドポイントの関連付けを一覧表示できます。

VPC ネットワークのすべてのファイアウォール エンドポイントの関連付けを一覧表示する

特定の VPC ネットワークのすべてのファイアウォール エンドポイントの関連付けを一覧表示できます。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. VPC ネットワークの名前をクリックして、[VPC ネットワークの詳細] ページを表示します。

  3. [ファイアウォール エンドポイント] タブを選択します。このタブには、構成済みのファイアウォール エンドポイントの関連付けの一覧が表示されます。

gcloud

特定のネットワークのファイアウォール エンドポイントの関連付けを一覧表示するには、--filter フラグを指定して gcloud network-security firewall-endpoint-associations list コマンドを使用します。

gcloud network-security firewall-endpoint-associations list \
   --filter network:NETWORK_NAME \
   --project PROJECT_ID

次のように置き換えます。

  • NETWORK_NAME: VPC ネットワークの名前。
  • PROJECT_ID: ファイアウォール エンドポイントの関連付けの Google Cloud プロジェクト ID。

ファイアウォール エンドポイントのすべてのファイアウォール エンドポイントの関連付けを一覧表示する

特定のファイアウォール エンドポイントのすべての関連付けを一覧表示できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. ファイアウォール エンドポイントをクリックして詳細を表示します。

    [ファイアウォール エンドポイントの詳細] ページの表に、構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。

gcloud

ファイアウォール エンドポイントのファイアウォール エンドポイントの関連付けを一覧表示するには、--zone フラグを指定して gcloud network-security firewall-endpoint-associations list コマンドを使用します。

gcloud network-security firewall-endpoint-associations list \
   --zone ZONE \
   --project PROJECT_ID

次のように置き換えます。

  • ZONE: ファイアウォール エンドポイントのゾーン。すべてのゾーンのファイアウォール エンドポイントの関連付けを一覧表示するには、- を使用します。
  • PROJECT_ID: ファイアウォール エンドポイントの関連付けの Google Cloud プロジェクト ID。

プロジェクトのすべてのファイアウォール エンドポイントの関連付けを一覧表示する

特定のプロジェクトのすべてのファイアウォール エンドポイントの関連付けを一覧表示できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、Google Cloud プロジェクトを選択します。

    [ファイアウォール エンドポイントの関連付け] セクションの表に、このプロジェクトに構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。

gcloud

プロジェクトのファイアウォール エンドポイントの関連付けを一覧表示するには、gcloud network-security firewall-endpoint-associations list コマンドを使用します。

gcloud network-security firewall-endpoint-associations list \
   --project PROJECT_ID

次のように置き換えます。

  • PROJECT_ID: ファイアウォール エンドポイントの関連付けの Google Cloud プロジェクト ID。

ファイアウォール エンドポイントの関連付けを編集する

Google Cloud コンソールで、ネットワーク、プロジェクト、ファイアウォール エンドポイントのファイアウォール エンドポイントの関連付けを編集できます。ファイアウォール エンドポイントの関連付けを編集する gcloud CLI の手順は、どのオプションを選択しても同じです。

VPC ネットワークのファイアウォール エンドポイントの関連付けを編集する

VPC ネットワークの特定のゾーンのファイアウォール エンドポイントの関連付けを編集できます。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. VPC ネットワークの名前をクリックして、[VPC ネットワークの詳細] ページを表示します。

  3. [ファイアウォール エンドポイント] タブを選択します。このタブには、構成済みのファイアウォール エンドポイントの関連付けの一覧が表示されます。

  4. 更新するファイアウォール エンドポイントの関連付けの横にある [編集] をクリックします。

  5. ファイアウォール エンドポイントの関連付けを無効にするには、[関連付けを有効にする] チェックボックスをオフにします。

  6. TLS インスペクション ポリシーを更新するには、[TLS インスペクション ポリシー] リストから新しいポリシーを選択します。

  7. [保存] をクリックします。

gcloud

ファイアウォール エンドポイントの関連付けを更新するには、gcloud network-security firewall-endpoint-associations update コマンドを使用します。

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

  • TLS_PROJECT_NAME: TLS インスペクション ポリシーの Google Cloud プロジェクト名。

  • REGION_NAME: TLS インスペクション ポリシーのリージョン名。

  • TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。

ファイアウォール エンドポイントのファイアウォール エンドポイントの関連付けを編集する

特定のファイアウォール エンドポイントの関連付けを編集できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. ファイアウォール エンドポイントをクリックして詳細を表示します。

    [ファイアウォール エンドポイントの詳細] ページの表に、構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。

  4. 更新するファイアウォール エンドポイントの関連付けの横にある [編集] をクリックします。

  5. ファイアウォール エンドポイントの関連付けを無効にするには、[関連付けを有効にする] チェックボックスをオフにします。

  6. TLS インスペクション ポリシーを更新するには、[TLS インスペクション ポリシー] リストから新しいポリシーを選択します。

  7. [保存] をクリックします。

gcloud

ファイアウォール エンドポイントの関連付けを更新するには、gcloud network-security firewall-endpoint-associations update コマンドを使用します。

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

  • TLS_PROJECT_NAME: TLS インスペクション ポリシーの Google Cloud プロジェクト名。

  • REGION_NAME: TLS インスペクション ポリシーのリージョン名。

  • TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。

プロジェクトでファイアウォール エンドポイントの関連付けを作成する

特定のプロジェクトでファイアウォール エンドポイントの関連付けを編集できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、Google Cloud プロジェクトを選択します。

    [ファイアウォール エンドポイントの関連付け] セクションの表に、このプロジェクトに構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。

  3. 更新するファイアウォール エンドポイントの関連付けの横にある [編集] をクリックします。

  4. ファイアウォール エンドポイントの関連付けを無効にするには、[関連付けを有効にする] チェックボックスをオフにします。

  5. TLS インスペクション ポリシーを更新するには、[TLS インスペクション ポリシー] リストから新しいポリシーを選択します。

  6. [保存] をクリックします。

gcloud

ファイアウォール エンドポイントの関連付けを更新するには、gcloud network-security firewall-endpoint-associations update コマンドを使用します。

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    --disabled \
    --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

  • TLS_PROJECT_NAME: TLS インスペクション ポリシーの Google Cloud プロジェクト名。

  • REGION_NAME: TLS インスペクション ポリシーのリージョン名。

  • TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。

ファイアウォール エンドポイントの関連付けを削除する

Google Cloud コンソールで、ネットワーク、プロジェクト、ファイアウォール エンドポイントからファイアウォール エンドポイントの関連付けを削除できます。

Google Cloud プロジェクトが削除されると、関連するファイアウォール エンドポイントの関連付けは自動的に削除されます。この削除は、後でプロジェクトを復元しても元に戻せません。

ただし、これらの関連付けの削除プロセスが失敗することがあります。この場合、プロジェクトが復元されると、関連付けられたファイアウォール エンドポイントは、復元されたプロジェクト内で ORPHAN 状態になります。これは、削除に失敗したためにプロジェクトとそのリソース間のリンクが切断されていることを示します。

これらの孤立したアソシエーションは Google Cloud コンソールで確認できますが、編集することはできません。Cloud Next Generation Firewall は、これらの孤立したリソースを削除するバックグラウンド プロセスを定期的に実行します。

VPC ネットワークのファイアウォール エンドポイントの関連付けを削除する

VPC ネットワークの特定のゾーンのファイアウォール エンドポイントの関連付けを削除できます。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. VPC ネットワークの名前をクリックして、[VPC ネットワークの詳細] ページを表示します。

  3. [ファイアウォール エンドポイント] タブを選択します。このタブには、構成済みのファイアウォール エンドポイントの関連付けの一覧が表示されます。

  4. ファイアウォール エンドポイントの関連付けを選択し、[削除] をクリックします。

  5. もう一度 [削除] をクリックして確定します。

gcloud

ファイアウォール エンドポイントの関連付けを削除するには、gcloud network-security firewall-endpoint-associations delete コマンドを使用します。

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

ファイアウォール エンドポイントのファイアウォール エンドポイントの関連付けを削除する

特定のファイアウォール エンドポイントの関連付けを削除できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. ファイアウォール エンドポイントをクリックして詳細を表示します。

    [ファイアウォール エンドポイントの詳細] ページの表に、構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。

  4. ファイアウォール エンドポイントの関連付けを選択し、[削除] をクリックします。

  5. もう一度 [削除] をクリックして確定します。

gcloud

ファイアウォール エンドポイントの関連付けを削除するには、gcloud network-security firewall-endpoint-associations delete コマンドを使用します。

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

プロジェクトでファイアウォール エンドポイントの関連付けを削除する

特定のプロジェクトでファイアウォール エンドポイントの関連付けを削除できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、Google Cloud プロジェクトを選択します。

    [ファイアウォール エンドポイントの関連付け] セクションの表に、このプロジェクトに構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。

  3. ファイアウォール エンドポイントの関連付けを選択し、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

ファイアウォール エンドポイントの関連付けを削除するには、gcloud network-security firewall-endpoint-associations delete コマンドを使用します。

gcloud network-security firewall-endpoint-associations \
   delete NAME \
   --zone ZONE \
   --project PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

次のステップ