本頁面說明如何使用Google Cloud 控制台和 Google Cloud CLI,設定及管理防火牆端點,並將其與虛擬私有雲 (VPC) 網路建立關聯。
您可以在可用區層級建立防火牆端點,然後將其與相同可用區中的一或多個虛擬私有雲網路建立關聯。如果您已在與虛擬私有雲網路相關聯的防火牆政策中啟用第 7 層檢查,系統會以透明方式攔截相符的流量,並轉送至防火牆端點。
事前準備
您必須在 Google Cloud 專案中啟用 Compute Engine API。
您必須在要用於帳單的 Google Cloud 專案中啟用 Network Security API。
您必須在 Google Cloud 專案中啟用 Certificate Authority Service API。
如要執行本指南中的
gcloud指令列範例,請安裝 gcloud CLI。
角色
如要取得建立、查看、更新或刪除防火牆端點所需的權限,請要求管理員授予您機構的必要 IAM 角色。如要進一步瞭解如何授予角色,請參閱管理存取權。
配額
如要查看防火牆端點和關聯的配額,請參閱「配額與限制」。
建立防火牆端點
在特定可用區中建立防火牆端點。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
點選「建立」。
在「Region」(區域) 清單中,選取要建立防火牆端點的區域。
在「Zone」(可用區) 清單中,選取要建立防火牆端點的可用區。
在「名稱」欄位中輸入名稱。
在「帳單專案」清單中,選取要用於防火牆端點帳單的 Google Cloud 專案。
按一下「繼續」。
如要新增防火牆端點關聯,請按一下「新增端點關聯」,否則請略過這個步驟。
- 在「專案」清單中,選取要建立防火牆端點關聯的專案 Google Cloud 。
- 如果 Google Cloud 專案未啟用 Compute Engine API 或 Network Security API,請按一下「啟用」。
- 在「Network」(網路) 清單中,選取要與防火牆端點建立關聯的網路。
- 在「TLS 檢查政策」清單中,選取要新增至這個關聯的 TLS 檢查政策。
- 如要新增其他關聯,請按一下「新增端點關聯」。
點選「建立」。
gcloud
如要建立防火牆端點,請使用 gcloud network-security firewall-endpoints create 指令:
gcloud network-security firewall-endpoints create NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。BILLING_PROJECT_ID:用於防火牆端點帳單的 Google Cloud 專案 ID。
如要將防火牆端點與虛擬私有雲網路建立關聯,請參閱「建立防火牆端點關聯」。
查看防火牆端點
您可以查看特定防火牆端點的詳細資料。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
「防火牆端點」頁面會列出機構中所有已設定的防火牆端點。
按一下防火牆端點名稱,即可查看詳細資料。
gcloud
如要查看防火牆端點的詳細資料,請使用 gcloud network-security firewall-endpoints describe 指令:
gcloud network-security firewall-endpoints \ describe NAME \ --organization ORGANIZATION_ID \ --zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。
列出防火牆端點
您可以列出機構中的所有防火牆端點。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
「防火牆端點」頁面會列出機構中所有已設定的防火牆端點。
gcloud
如要列出所有防火牆端點,請使用 gcloud network-security firewall-endpoints list 指令:
gcloud network-security firewall-endpoints list \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
更改下列內容:
ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。如要列出所有可用區的端點,請使用-。BILLING_PROJECT_ID:可選用的 Google Cloud 專案 ID,作業配額費用會計入這個專案。
編輯防火牆端點
您可以更新機構中防火牆端點的帳單專案。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
在專案選取器選單中,選取您的機構。
「防火牆端點」頁面會列出機構中所有已設定的防火牆端點。
按一下防火牆端點名稱,即可查看詳細資料。
按一下 [編輯]。
在「帳單專案」清單中,選取要用於防火牆端點帳單的 Google Cloud 專案。
按一下 [儲存]。
gcloud
如要編輯防火牆端點,請使用 gcloud network-security firewall-endpoints edit 指令:
gcloud network-security firewall-endpoints \ update NAME \ --organization ORGANIZATION_ID \ --zone ZONE \ --billing-project BILLING_PROJECT_ID
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。BILLING_PROJECT_ID:您要與這個防火牆端點建立關聯的 Google Cloud 專案 ID,用於帳單。
刪除防火牆端點
您可以指定防火牆端點的名稱、區域和機構,藉此刪除端點。
主控台
前往 Google Cloud 控制台的「Firewall endpoints」(防火牆端點) 頁面。
選取防火牆端點,然後按一下「Delete」(刪除)。
再按一下 [刪除] 加以確認。
gcloud
如要刪除防火牆端點,請使用 gcloud network-security firewall-endpoints delete 指令:
gcloud network-security firewall-endpoints delete NAME --organization ORGANIZATION_ID \ --zone ZONE
更改下列內容:
NAME:防火牆端點的名稱。ORGANIZATION_ID:啟用端點的機構。ZONE:啟用端點的可用區。