本頁說明如何使用 Google Cloud 控制台和 Google Cloud CLI,建立及管理防火牆端點關聯。
將防火牆端點與一或多個虛擬私有雲 (VPC) 網路建立關聯時,請在防火牆端點的相同區域中建立關聯。您也可以將不同可用區中的防火牆端點與虛擬私有雲網路建立關聯。
事前準備
您必須在 Google Cloud 專案中啟用 Compute Engine API。
您必須在 Google Cloud 專案中啟用 Network Security API。
您必須在 Google Cloud 專案中啟用 Certificate Authority Service API。
如要執行本指南中的
gcloud指令列範例,請安裝 gcloud CLI。您需要防火牆端點。
角色
如要取得建立、查看、更新或刪除防火牆端點關聯所需的權限,請要求管理員授予您機構和專案的必要 IAM 角色。如要進一步瞭解如何授予角色,請參閱管理存取權。
配額
如要查看防火牆端點關聯的配額,請參閱「配額與限制」。
建立防火牆端點關聯
您可以使用Google Cloud 控制台,為下列任一項目建立防火牆端點關聯:
這些選項都會建立相同的關聯。在 Google Cloud 控制台中建立關聯時,唯一不同的是開始建立關聯的程序。如果是使用 gcloud CLI 建立的關聯,所有防火牆端點關聯的程序都相同。
為虛擬私有雲網路建立防火牆端點關聯
您可以將一或多個防火牆端點與特定 VPC 網路建立關聯。每個相關聯的防火牆端點都屬於 VPC 網路內的不同區域。
主控台
在 Google Cloud 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
按一下虛擬私有雲網路的名稱,顯示其「虛擬私有雲網路詳細資料」頁面。
選取「防火牆端點」分頁標籤。
按一下「建立端點關聯」。
在「Region」(區域) 清單中,選取要建立防火牆端點關聯的區域。
在「Zone」(可用區) 清單中,選取要建立防火牆端點關聯的可用區。
在「防火牆端點」清單中,選取要與這個虛擬私有雲網路建立關聯的防火牆端點。
在「TLS 檢查政策」清單中,選取要新增至這個虛擬私有雲網路的 TLS 檢查政策。
點選「建立」。
gcloud
如要建立防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations create 指令:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
更改下列內容:
NAME:防火牆端點關聯的名稱。ORGANIZATION_ID:建立防火牆端點的機構 ID。ZONE:防火牆端點的可用區。FIREWALL_ENDPOINT_NAME:防火牆端點的名稱。PROJECT_NAME:網路的 Google Cloud 專案名稱。NETWORK_NAME:網路名稱。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。TLS_PROJECT_NAME:TLS 檢查政策的 Google Cloud 專案名稱。REGION_NAME:TLS 檢查政策的區域名稱。TLS_POLICY_NAME:TLS 檢查政策的名稱。這項政策用於指定網路中加密流量的 TLS 檢查。這是選填引數。
為防火牆端點建立防火牆端點關聯
您可以將一或多個虛擬私有雲網路,連結至同一可用區中的特定防火牆端點。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
按一下防火牆端點即可查看詳細資料。
按一下「建立端點關聯」。
按一下「新增端點關聯」。
在「專案」清單中,選取要建立防火牆端點關聯的 Google Cloud 專案。
如果 Google Cloud 專案未啟用 Compute Engine API 和 Network Security API,請按一下「啟用」。
在「Network」(網路) 清單中,選取要與防火牆端點建立關聯的網路。
在「TLS 檢查政策」清單中,選取要新增至這個關聯的 TLS 檢查政策。
如要新增其他關聯,請按一下「新增端點關聯」。
點選「建立」。
gcloud
如要建立防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations create 指令:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
更改下列內容:
NAME:防火牆端點關聯的名稱。ORGANIZATION_ID:建立防火牆端點的機構 ID。ZONE:防火牆端點的可用區。FIREWALL_ENDPOINT_NAME:防火牆端點的名稱。PROJECT_NAME:網路的 Google Cloud 專案名稱。NETWORK_NAME:網路名稱。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。TLS_PROJECT_NAME:TLS 檢查政策的 Google Cloud 專案名稱。REGION_NAME:TLS 檢查政策的區域名稱。TLS_POLICY_NAME:TLS 檢查政策的名稱。這項政策用於指定網路中加密流量的 TLS 檢查。這是選填引數。
在專案中建立防火牆端點關聯
您可以為特定專案新增多個防火牆端點關聯。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取 Google Cloud 專案。
按一下「建立端點關聯」。
在「Region」(區域) 清單中,選取要建立防火牆端點關聯的區域。
在「Zone」(可用區) 清單中,選取要建立防火牆端點關聯的可用區。
在「防火牆端點」清單中,選取要新增至關聯的防火牆端點。
在「網路」清單中,選取要新增至關聯的網路。
在「TLS 檢查政策」中,選取要新增至這項關聯的 TLS 檢查政策。
點選「建立」。
gcloud
如要建立防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations create 指令:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
更改下列內容:
NAME:防火牆端點關聯的名稱。ORGANIZATION_ID:建立防火牆端點的機構 ID。ZONE:防火牆端點的可用區。FIREWALL_ENDPOINT_NAME:防火牆端點的名稱。PROJECT_NAME:網路的 Google Cloud 專案名稱。NETWORK_NAME:網路名稱。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。TLS_PROJECT_NAME:TLS 檢查政策的 Google Cloud 專案名稱。REGION_NAME:TLS 檢查政策的區域名稱。TLS_POLICY_NAME:TLS 檢查政策的名稱。這項政策用於指定網路中加密流量的 TLS 檢查。這是選填引數。
查看防火牆端點關聯
您可以查看區域中特定防火牆端點關聯的詳細資料。
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
更改下列內容:
NAME:防火牆端點關聯的名稱。ZONE:防火牆端點關聯的可用區。PROJECT_ID:防火牆端點關聯的專案 ID。 Google Cloud
列出防火牆端點關聯
您可以列出網路、專案或防火牆端點的防火牆端點關聯。
列出虛擬私有雲網路的所有防火牆端點關聯
您可以列出特定 VPC 網路的所有防火牆端點關聯。
主控台
在 Google Cloud 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
按一下虛擬私有雲網路的名稱,顯示其「虛擬私有雲網路詳細資料」頁面。
選取「防火牆端點」分頁標籤。這個分頁會列出已設定的防火牆端點關聯。
gcloud
如要列出特定網路的防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations list 指令並加上 --filter 旗標:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
更改下列內容:
NETWORK_NAME:虛擬私有雲網路的名稱。PROJECT_ID:防火牆端點關聯的專案 ID。 Google Cloud
列出防火牆端點的所有防火牆端點關聯
您可以列出特定防火牆端點的所有關聯。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
按一下防火牆端點即可查看詳細資料。
在「防火牆端點詳細資料」頁面中,表格會列出所有已設定的防火牆端點關聯。
gcloud
如要列出防火牆端點的防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations list 指令並加上 --zone 旗標:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
更改下列內容:
ZONE:防火牆端點的可用區。如要列出所有區域中的防火牆端點關聯,請使用-。PROJECT_ID:防火牆端點關聯的專案 ID。 Google Cloud
列出專案中的所有防火牆端點關聯
您可以列出特定專案中的所有防火牆端點關聯。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取 Google Cloud 專案。
在「防火牆端點關聯」部分,表格會列出這個專案的所有已設定防火牆端點關聯。
gcloud
如要列出專案中的防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations list 指令:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
更改下列內容:
PROJECT_ID:防火牆端點關聯的專案 ID。 Google Cloud
編輯防火牆端點關聯
您可以使用Google Cloud 控制台,編輯網路、專案或防火牆端點的防火牆端點關聯。無論使用上述哪種方式,編輯防火牆端點關聯的 gcloud CLI 指令都相同。
編輯虛擬私有雲網路的防火牆端點關聯
您可以編輯虛擬私有雲網路中特定可用區的防火牆端點關聯。
主控台
在 Google Cloud 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
按一下虛擬私有雲網路的名稱,顯示其「虛擬私有雲網路詳細資料」頁面。
選取「防火牆端點」分頁標籤。這個分頁會列出已設定的防火牆端點關聯。
找到要更新的防火牆端點關聯,然後點按旁邊的「編輯」。
如要停用防火牆端點關聯,請取消勾選「啟用關聯」核取方塊。
如要更新 TLS 檢查政策,請從「TLS 檢查政策」清單中選取新政策。
按一下 [儲存]。
gcloud
如要更新防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations update 指令:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
更改下列內容:
NAME:防火牆端點關聯的名稱。ZONE:防火牆端點關聯的可用區。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。TLS_PROJECT_NAME:TLS 檢查政策的 Google Cloud 專案名稱。REGION_NAME:TLS 檢查政策的區域名稱。TLS_POLICY_NAME:TLS 檢查政策的名稱。
編輯防火牆端點的防火牆端點關聯
您可以編輯特定防火牆端點的關聯。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
按一下防火牆端點即可查看詳細資料。
在「防火牆端點詳細資料」頁面中,表格會列出所有已設定的防火牆端點關聯。
找到要更新的防火牆端點關聯,然後點按旁邊的「編輯」。
如要停用防火牆端點關聯,請取消勾選「啟用關聯」核取方塊。
如要更新 TLS 檢查政策,請從「TLS 檢查政策」清單中選取新政策。
按一下 [儲存]。
gcloud
如要更新防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations update 指令:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
更改下列內容:
NAME:防火牆端點關聯的名稱。ZONE:防火牆端點關聯的可用區。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。TLS_PROJECT_NAME:TLS 檢查政策的 Google Cloud 專案名稱。REGION_NAME:TLS 檢查政策的區域名稱。TLS_POLICY_NAME:TLS 檢查政策的名稱。
編輯專案中的防火牆端點關聯
您可以在特定專案中編輯防火牆端點關聯。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取 Google Cloud 專案。
在「防火牆端點關聯」部分,表格會列出這個專案的所有已設定防火牆端點關聯。
找到要更新的防火牆端點關聯,然後按一下旁邊的「編輯」。
如要停用防火牆端點關聯,請取消勾選「啟用關聯」核取方塊。
如要更新 TLS 檢查政策,請從「TLS 檢查政策」清單中選取新政策。
按一下 [儲存]。
gcloud
如要更新防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations update 指令:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
更改下列內容:
NAME:防火牆端點關聯的名稱。ZONE:防火牆端點關聯的可用區。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。TLS_PROJECT_NAME:TLS 檢查政策的 Google Cloud 專案名稱。REGION_NAME:TLS 檢查政策的區域名稱。TLS_POLICY_NAME:TLS 檢查政策的名稱。
刪除防火牆端點關聯
Google Cloud 控制台可讓您從網路、專案或防火牆端點刪除防火牆端點關聯。
刪除專案時,系統會自動移除相關聯的防火牆端點關聯。 Google Cloud 這項操作無法復原,即使之後還原專案也一樣。
不過,有時可能無法刪除這些關聯。
如果發生這種情況並還原專案,相關聯的防火牆端點會在還原的專案中顯示為 ORPHAN 狀態。這表示專案與資源之間的連結已中斷,因為刪除作業未成功。
您可以在 Google Cloud 控制台中查看這些孤立的關聯資料,但無法編輯這些關聯資料。Cloud Next Generation Firewall 會定期執行背景程序,刪除這些孤立資源。
刪除 VPC 網路的防火牆端點關聯
您可以刪除 VPC 網路中特定可用區的防火牆端點關聯。
主控台
在 Google Cloud 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
按一下虛擬私有雲網路的名稱,顯示其「虛擬私有雲網路詳細資料」頁面。
選取「防火牆端點」分頁標籤。這個分頁會列出已設定的防火牆端點關聯。
選取防火牆端點關聯,然後按一下「刪除」。
再按一下 [刪除] 加以確認。
gcloud
如要刪除防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations delete 指令:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
更改下列內容:
NAME:防火牆端點關聯的名稱。ZONE:防火牆端點關聯的可用區。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。
刪除防火牆端點的防火牆端點關聯
您可以刪除特定防火牆端點的關聯。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
按一下防火牆端點即可查看詳細資料。
在「防火牆端點詳細資料」頁面中,表格會列出所有已設定的防火牆端點關聯。
選取防火牆端點關聯,然後按一下「刪除」。
再按一下 [刪除] 加以確認。
gcloud
如要刪除防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations delete 指令:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
更改下列內容:
NAME:防火牆端點關聯的名稱。ZONE:防火牆端點關聯的可用區。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。
刪除專案中的防火牆端點關聯
您可以刪除特定專案中的防火牆端點關聯。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取 Google Cloud 專案。
在「防火牆端點關聯」部分,表格會列出這個專案的所有已設定防火牆端點關聯。
選取防火牆端點關聯,然後按一下「刪除」。
再按一下 [刪除] 加以確認。
gcloud
如要刪除防火牆端點關聯,請使用 gcloud network-security firewall-endpoint-associations delete 指令:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
更改下列內容:
NAME:防火牆端點關聯的名稱。ZONE:防火牆端點關聯的可用區。PROJECT_ID:建立關聯的 Google Cloud 專案 ID。