Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo delle regole firewall VPC

Questa pagina descrive i comandi per lavorare con le regole firewall virtual private cloud (VPC) e presenta alcuni esempi di utilizzo. Le regole firewall VPC consentono o negano il traffico da o verso le istanze di macchine virtuali (VM) in una rete VPC in base al numero di porta, al tag o al protocollo.

Prima di iniziare

Per scoprire di più sulle regole firewall VPC, ad esempio le regole implicite e quelle generate dal sistema per le reti predefinite, consulta Regole firewall VPC.

Prima di configurare le regole firewall, esamina i componenti delle regole firewall per acquisire familiarità con i componenti firewall utilizzati in Google Cloud.

Crea regole firewall VPC

Le regole firewall VPC sono definite a livello di rete e si applicano solo alla rete in cui vengono create. Tuttavia, il nome che scegli per ciascuna di queste regole deve essere univoco per il progetto.

Una regola firewall può contenere intervalli IPv4 o IPv6, ma non entrambi.

Quando crei una regola firewall, puoi scegliere di attivare il logging delle regole firewall. Se attivi la registrazione, puoi omettere i campi dei metadati per risparmiare sui costi di archiviazione. Per saperne di più, consulta la sezione Utilizzare il logging delle regole firewall.

Se vuoi specificare più service account per il campo account di servizio di destinazione o di origine, utilizza Google Cloud CLI, l'API o le librerie client.

La rete predefinita fornisce regole firewall automatiche al momento della creazione. Le reti in modalità personalizzata e automatica ti consentono di creare facilmente firewall simili durante la creazione della rete se utilizzi la console Google Cloud . Se utilizzi gcloud CLI o l'API e vuoi creare regole firewall simili a quelle fornite dalla rete predefinita, consulta Configurare le regole firewall per i casi d'uso comuni.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

Console

Nella console Google Cloud , vai alla pagina Policy firewall.

Vai a Policy firewall
Fai clic su Crea regola firewall.
Inserisci un nome per la regola firewall.

Questo nome deve essere univoco per il progetto.
(Facoltativo) Puoi attivare la registrazione delle regole firewall:
- Fai clic su Log > On (Log > Attiva).
- Per omettere i metadati, fai clic su Mostra dettagli log e poi deseleziona la casella di controllo Includi metadati.
Specifica la Rete per la regola firewall.
Specifica la priorità della regola.

Più basso è il numero, maggiore è la priorità.
Per Direzione del traffico, scegli in entrata o in uscita.
Per l'Azione in caso di corrispondenza, scegli Consenti o Nega.
Specifica i target della regola.
- Se vuoi che la regola venga applicata a tutte le istanze nella rete, scegli Tutte le istanze nella rete.
- Se vuoi che la regola venga applicata a istanze selezionate in base ai tag di rete (target), scegli Tag di destinazione specificati e poi, nel campo Tag di destinazione, digita i tag a cui deve essere applicata la regola.
- Se vuoi che la regola venga applicata alle istanze selezionate in base al account di servizio associato, scegli Service account specificato, indica se il account di servizio si trova nel progetto corrente o in un altro in Ambito del service account e poi, nel campo Service account di destinazione, scegli o digita il nome del account di servizio.
Per una regola in entrata, specifica il Filtro di origine:
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona Intervalli IPv4, quindi inserisci i blocchi CIDR nel campo Intervalli IPv4 di origine. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
- Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona Intervalli IPv6, quindi inserisci i blocchi CIDR nel campo Intervalli IPv6 di origine. Utilizza ::/0 per qualsiasi origine IPv6.
- Per filtrare il traffico in entrata in base al tag di rete, scegli Tag di origine, quindi digita i tag di rete nel campo Tag di origine. Per il limite al numero di tag sorgente, vedi Limiti per rete. Il filtro per tag di origine è disponibile solo se la destinazione non è specificata dal service account. Per ulteriori informazioni, vedi Filtro per account di servizio rispetto al tag di rete.
- Per filtrare il traffico in entrata in base al account di servizio, scegli Service account, indica se il account di servizio si trova nel progetto corrente o in un altro in Ambito service account, quindi scegli o digita il nome del account di servizio nel campo Service account di origine. Il filtro per account di servizio di origine è disponibile solo se la destinazione non è specificata dal tag di rete. Per ulteriori informazioni, vedi Filtrare per account di servizio anziché per tag di rete.
- Specifica un secondo filtro di origine, se vuoi. I filtri dell'origine secondaria non possono utilizzare gli stessi criteri di filtro di quella principale. Gli intervalli IP di origine possono essere utilizzati insieme ai tag di origine o a un service account di origine. L'insieme di origini effettivo è l'unione degli indirizzi IP dell'intervallo di origine e delle istanze identificate dai tag di rete o dagli account di servizio. ovvero, se l'intervallo IP di origine o i tag di origine (o gli account di servizio di origine) corrispondono ai criteri di filtro, l'origine viene inclusa nel set di origini effettivo.
- I tag di origine e l'account di servizio di origine non possono essere utilizzati insieme.
Per una regola in entrata, specifica il filtro di destinazione:
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di destinazione, seleziona Intervalli IPv4 e inserisci i blocchi CIDR nel campo Intervalli IPv4 di destinazione. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
- Per filtrare il traffico in entrata in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6. Per ulteriori informazioni, vedi Destinazione per le regole di ingresso.
Per una regola in uscita, specifica il Filtro di destinazione:
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona Intervalli IPv4 e inserisci i blocchi CIDR nel campo Intervalli IPv4 di destinazione. Utilizza 0.0.0.0/0 per qualsiasi destinazione IPv4.
- Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza ::/0 per qualsiasi destinazione IPv6.
Per una regola in uscita, specifica il Filtro di origine:
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di origine, seleziona Intervalli IPv4 e inserisci i blocchi CIDR nel campo Intervalli IPv4 di origine. Utilizza 0.0.0.0/0 per qualsiasi origine IPv4.
- Per filtrare il traffico in uscita in base agli intervalli IPv6 di origine, seleziona Intervalli IPv6 e inserisci i blocchi CIDR nel campo Intervalli IPv6 di origine. Utilizza ::/0 per qualsiasi destinazione IPv6. Per saperne di più, vedi Origine delle regole di uscita.
Definisci i protocolli e le porte a cui si applica la regola:
- Per applicare la regola a tutti i protocolli e le porte di destinazione, seleziona Consenti tutto o Nega tutto, a seconda dell'azione.
- Per definire protocolli e porte di destinazione specifici, seleziona Protocolli e porte specificati:
  - Seleziona TCP per includere il protocollo TCP e le porte di destinazione. Inserisci all o un elenco di porte di destinazione separate da virgole, ad esempio 20-22, 80, 8080.
  - Seleziona UDP per includere il protocollo UDP e le porte di destinazione. Inserisci all o un elenco di porte di destinazione separate da virgole, ad esempio 67-69, 123.
  - Seleziona Altro per includere protocolli come icmp, sctp o un numero di protocollo. Ad esempio, utilizza icmp o il numero di protocollo 1 per ICMP IPv4. Utilizza il numero di protocollo 58 per ICMP IPv6.
    
    Per saperne di più, consulta protocolli e porte di destinazione.
(Facoltativo) Puoi creare la regola firewall ma non applicarla impostando il relativo stato di applicazione su disabilitato. Fai clic su Disattiva regola e poi seleziona Disattivata.
Fai clic su Crea.

gcloud

Per creare una regola firewall VPC, utilizza il comando gcloud compute firewall-rules create:

gcloud compute firewall-rules create RULE_NAME \
    [--network NETWORK; default="default"] \
    [--priority PRIORITY;default=1000] \
    [--direction (ingress|egress|in|out); default="ingress"] \
    [--action (deny | allow )] \
    [--target-tags TAG[,TAG,...]] \
    [--target-service-accounts=IAM_SERVICE_ACCOUNT[,IAM_SERVICE_ACCOUNT,...]] \
    [--source-ranges CIDR_RANGE[,CIDR_RANGE,...]] \
    [--source-tags TAG,TAG,] \
    [--source-service-accounts=IAM_SERVICE_ACCOUNT[,IAM_SERVICE_ACCOUNT,...]] \
    [--destination-ranges CIDR_RANGE[,CIDR_RANGE,...]] \
    [--rules (PROTOCOL[:PORT[-PORT]],[PROTOCOL[:PORT[-PORT]],...]] | all ) \
    [--disabled | --no-disabled] \
    [--enable-logging | --no-enable-logging] \
    [--logging-metadata LOGGING_METADATA]

Utilizza i parametri come segue. Per ulteriori dettagli su ciascuno, consulta la documentazione di riferimento dell'SDK.

--network La rete per la regola. Se omessa, la regola viene creata nella rete default. Se non hai una rete predefinita o vuoi creare la regola in una rete specifica, devi utilizzare questo campo.
--priority Un valore numerico che indica la priorità per la regola. Più basso è il numero, maggiore è la priorità.
--direction La direzione del traffico, INGRESS o EGRESS.
--action L'azione in caso di corrispondenza, allow o deny. Deve essere utilizzato con il flag --rules.
Specifica un target in uno dei seguenti modi:
- Ometti --target-tags e --target-service-accounts se la regola deve essere applicata a tutti i target nella rete.
- Utilizza il flag --target-tags per definire i target in base ai tag di rete.
- Utilizza il flag --target-service-accounts per definire i target in base agli account di servizio associati.
Per la regola in entrata, per perfezionare ulteriormente la destinazione, utilizza --destination-ranges per specificare intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Se --destination-ranges viene omesso, la destinazione in entrata è qualsiasi indirizzo IPv4, 0.0.0.0/0. Per saperne di più, consulta Destinazioni per le regole di ingresso e Destinazione e indirizzi IP per le regole di ingresso.
Per una regola in entrata, specifica un'origine:
- --source-ranges Utilizza questo flag per specificare intervalli di indirizzi IPv4 o IPv6 di origine in formato CIDR.
- Se --source-ranges, source-tags e --source-service-accounts vengono omessi, l'origine in entrata è qualsiasi indirizzo IPv4, 0.0.0.0/0.
- --source-tags Utilizza questo flag per specificare le istanze di origine in base ai tag di rete. Il filtro per tag di origine è disponibile solo se la destinazione non è specificata dal account di servizio. Per ulteriori informazioni, vedi Filtro per account di serviziot e tag di rete.
- --source-ranges e --source-tags possono essere utilizzati insieme. Se vengono specificati entrambi, l'insieme di origini effettivo è l'unione degli indirizzi IP dell'intervallo di origine e delle istanze identificate dai tag di rete, anche se le istanze taggate non hanno IP negli intervalli di origine.
- --source-service-accounts Utilizza questo flag per specificare le istanze in base agli account di servizio che utilizzano. Il filtro per account di servizio di origine è disponibile solo se la destinazione non è specificata dal tag di rete. Per ulteriori informazioni, vedi Filtro per account di servizio e tag di rete. --source-ranges e --source-service-accounts possono essere utilizzati insieme. Se vengono specificati entrambi, l'insieme di origini effettivo è l'unione degli indirizzi IP dell'intervallo di origine e delle istanze identificate dai service account di origine, anche se le istanze identificate dai service account di origine non hanno IP negli intervalli di origine.
Per la regola di uscita, per perfezionare ulteriormente l'origine, utilizza --source-ranges per specificare intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Se --source-ranges viene omesso, l'origine dell'uscita è qualsiasi indirizzo IPv4, 0.0.0.0/0. Per maggiori informazioni, consulta Origini per le regole di uscita e Destinazione e indirizzi IP per le regole di uscita.
Per una regola in uscita, specifica una destinazione:
- --destination-ranges Utilizza questo flag per specificare intervalli di indirizzi IPv4 o IPv6 di destinazione in formato CIDR.
- Se --destination-ranges viene omesso, la destinazione di uscita è qualsiasi indirizzo IPv4, 0.0.0.0/0.
--rules Un elenco di protocolli e porte di destinazione a cui si applica la regola. Utilizza all per rendere la regola applicabile a tutti i protocolli e a tutte le porte di destinazione. Richiede il flag --action.
Per impostazione predefinita, le regole firewall vengono create e applicate automaticamente; tuttavia, puoi modificare questo comportamento.
- Se vengono omessi sia --disabled sia --no-disabled, la regola firewall viene creata e applicata.
- --disabled Aggiungi questo flag per creare la regola firewall, ma non applicarla. La regola firewall rimane disabilitata finché non la aggiorni per abilitarla.
- --no-disabled Aggiungi questo flag per assicurarti che la regola firewall venga applicata.
--enable-logging | --no-enable-logging Puoi attivare il logging delle regole firewall per una regola quando la crei o la aggiorni. Il logging delle regole firewall consente di controllare, verificare e analizzare gli effetti delle regole firewall. Per maggiori dettagli, consulta Logging delle regole firewall.
- --logging-metadata Se abiliti la registrazione, per impostazione predefinita, il logging delle regole firewall include i campi di base e i metadati. Puoi omettere i campi dei metadati per risparmiare sui costi di archiviazione. Per saperne di più, consulta Utilizzo del logging delle regole firewall.

Terraform

Per creare una regola firewall, puoi utilizzare una risorsa google_compute_firewall.

resource "google_compute_firewall" "rules" {
  name        = "my-firewall-rule"
  network     = "default"
  description = "Creates firewall rule targeting tagged instances"

  allow {
    protocol = "tcp"
    ports    = ["80", "443"]
  }

  source_ranges = ["0.0.0.0/0"]
  target_tags   = ["web"]
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea una regola firewall VPC.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls
{
  "name": "RULE_NAME",
  "network": "projects/PROJECT-ID/global/networks/NETWORK",
  ... other fields
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui si trova la rete VPC.
NETWORK: il nome della rete VPC in cui viene creata la regola firewall.
RULE_NAME: il nome della regola firewall.
Per una regola firewall in entrata, specifica l'origine e la destinazione in entrata:
- Utilizza i campi sourceRanges, sourceTags o sourceServiceAccounts per specificare l'origine del traffico in entrata.
- sourceRanges possono essere intervalli IPv4 o IPv6, ma non una combinazione di entrambi. Per utilizzare l'intervallo 0.0.0.0/0, non specificare alcun campo.
- Non puoi utilizzare i campi sourceTags e sourceServiceAccounts contemporaneamente. Tuttavia, puoi utilizzare sourceRanges con sourceTags o sourceServiceAccounts. In questo caso, la connessione deve corrispondere a uno dei due per l'applicazione della regola firewall.
- Per i campi target, se utilizzi il campo sourceTags, non puoi utilizzare il campo targetServiceAccounts. Devi utilizzare il campo targetTags o nessun campo di destinazione. Allo stesso modo, se utilizzi il campo sourceServiceAccounts, non puoi utilizzare il campo targetTags. Se non specifichi un campo target, la regola si applica a tutti i target nella rete.
- Utilizza il campo destinationRanges per specificare la destinazione di ingresso. destinationRanges può essere un intervallo IPv4 o IPv6, ma non una combinazione di entrambi.
  Se non specifichi una destinazione, Google Cloud utilizza 0.0.0.0/0. Per saperne di più, consulta Destinazioni per le regole di ingresso e Indirizzi IP e target per le regole di ingresso.
Per una regola firewall in uscita, specifica l'origine e la destinazione in uscita:
- Utilizza il campo sourceRanges per specificare l'origine dell'uscita. sourceRange possono essere intervalli IPv4 o IPv6, ma non una combinazione di entrambi.
  Se non specifichi un'origine, Google Cloud utilizza 0.0.0.0/0. Per saperne di più, consulta Origini per le regole di uscita e Destinazione e indirizzi IP per le regole di uscita.
- Utilizza il campo destinationRanges per specificare la destinazione. destinationRanges possono essere intervalli IPv4 o IPv6, ma non una combinazione di entrambi.
  Se non specifichi una destinazione, Google Cloud utilizza 0.0.0.0/0. Utilizza il campo targetTags o targetServiceAccounts per specificare a quali target si applica la regola. Se non specifichi un campo di destinazione, la regola si applica a tutte le destinazioni della rete.

Per ulteriori informazioni e descrizioni di ogni campo, consulta il metodo firewalls.insert.

C#


using Google.Cloud.Compute.V1;
using System.Threading.Tasks;

public class CreateFirewallRuleAsyncSample
{
    public async Task CreateFirewallRuleAsync(
        // TODO(developer): Set your own default values for these parameters or pass different values when calling this method.
        string projectId = "your-project-id",
        string firewallRuleName = "my-test-firewall-rule",
        // Name of the network the rule will be applied to. Some available name formats:
        // projects/{project_id}/global/networks/{network}
        // global/networks/{network}
        string networkName = "global/networks/default")
    {
        Firewall firewallRule = new Firewall
        {
            Name = firewallRuleName,
            Network = networkName,
            Direction = ComputeEnumConstants.Firewall.Direction.Ingress,
            Allowed =
            {
                new Allowed
                {
                    Ports = { "80", "443" },
                    IPProtocol = "tcp"
                }
            },
            TargetTags = { "web" },
            Description = "Allows TCP traffic on port 80 and 443 from anywhere."
        };

        // Note that the default value of priority for the firewall API is 1000.
        // If you check the value of firewallRule.Priority at this point it
        // will be equal to 0, however it is not treated as "set" by the library, and thus
        // the default will be applied to the new rule. If you want to create a rule that
        // has priority == 0, you'll need to explicitly set it: firewallRule.Priority = 0.
        // You can use the firewallRule.HasPriority property to check if the priority has been set.
        // You can use the firewallRule.ClearPriority() method to unset the priority.

        // Initialize client that will be used to send requests. This client only needs to be created
        // once, and can be reused for multiple requests.
        FirewallsClient client = await FirewallsClient.CreateAsync();

        // Create the firewall rule in the specified project.
        var firewallRuleCreation = await client.InsertAsync(projectId, firewallRule);

        // Wait for the operation to complete using client-side polling.
        await firewallRuleCreation.PollUntilCompletedAsync();
    }
}

Go

import (
	"context"
	"fmt"
	"io"

	compute "cloud.google.com/go/compute/apiv1"
	computepb "cloud.google.com/go/compute/apiv1/computepb"
	"google.golang.org/protobuf/proto"
)

// createFirewallRule creates a firewall rule allowing for incoming HTTP and HTTPS access from the entire Internet.
func createFirewallRule(w io.Writer, projectID, firewallRuleName, networkName string) error {
	// projectID := "your_project_id"
	// firewallRuleName := "europe-central2-b"
	// networkName := "global/networks/default"

	ctx := context.Background()
	firewallsClient, err := compute.NewFirewallsRESTClient(ctx)
	if err != nil {
		return fmt.Errorf("NewInstancesRESTClient: %w", err)
	}
	defer firewallsClient.Close()

	firewallRule := &computepb.Firewall{
		Allowed: []*computepb.Allowed{
			{
				IPProtocol: proto.String("tcp"),
				Ports:      []string{"80", "443"},
			},
		},
		Direction: proto.String(computepb.Firewall_INGRESS.String()),
		Name:      &firewallRuleName,
		TargetTags: []string{
			"web",
		},
		Network:     &networkName,
		Description: proto.String("Allowing TCP traffic on port 80 and 443 from Internet."),
	}

	// Note that the default value of priority for the firewall API is 1000.
	// If you check the value of `firewallRule.GetPriority()` at this point it
	// will be equal to 0, however it is not treated as "set" by the library and thus
	// the default will be applied to the new rule. If you want to create a rule that
	// has priority == 0, you need to explicitly set it so:

	// firewallRule.Priority = proto.Int32(0)

	req := &computepb.InsertFirewallRequest{
		Project:          projectID,
		FirewallResource: firewallRule,
	}

	op, err := firewallsClient.Insert(ctx, req)
	if err != nil {
		return fmt.Errorf("unable to create firewall rule: %w", err)
	}

	if err = op.Wait(ctx); err != nil {
		return fmt.Errorf("unable to wait for the operation: %w", err)
	}

	fmt.Fprintf(w, "Firewall rule created\n")

	return nil
}

Java


import com.google.cloud.compute.v1.Allowed;
import com.google.cloud.compute.v1.Firewall;
import com.google.cloud.compute.v1.Firewall.Direction;
import com.google.cloud.compute.v1.FirewallsClient;
import com.google.cloud.compute.v1.InsertFirewallRequest;
import java.io.IOException;
import java.util.UUID;
import java.util.concurrent.ExecutionException;
import java.util.concurrent.TimeUnit;
import java.util.concurrent.TimeoutException;

public class CreateFirewallRule {

  public static void main(String[] args)
      throws IOException, ExecutionException, InterruptedException, TimeoutException {
    // TODO(developer): Replace these variables before running the sample
    /* project: project ID or project number of the Cloud project you want to use.
       firewallRuleName: name of the rule that is created.
       network: name of the network the rule will be applied to. Available name formats:
        * https://www.googleapis.com/compute/v1/projects/{project_id}/global/networks/{network}
        * projects/{project_id}/global/networks/{network}
        * global/networks/{network} */
    String project = "your-project-id";
    String firewallRuleName = "firewall-rule-name-" + UUID.randomUUID();
    String network = "global/networks/default";

    // The rule will be created with default priority of 1000.
    createFirewall(project, firewallRuleName, network);
  }

  // Creates a simple firewall rule allowing for incoming HTTP and 
  // HTTPS access from the entire Internet.
  public static void createFirewall(String project, String firewallRuleName, String network)
      throws IOException, ExecutionException, InterruptedException, TimeoutException {
    /* Initialize client that will be used to send requests. This client only needs to be created
       once, and can be reused for multiple requests. After completing all of your requests, call
       the `firewallsClient.close()` method on the client to safely
       clean up any remaining background resources. */
    try (FirewallsClient firewallsClient = FirewallsClient.create()) {

      // The below firewall rule is created in the default network.
      Firewall firewallRule = Firewall.newBuilder()
          .setName(firewallRuleName)
          .setDirection(Direction.INGRESS.toString())
          .addAllowed(
              Allowed.newBuilder().addPorts("80").addPorts("443").setIPProtocol("tcp").build())
          .addSourceRanges("0.0.0.0/0")
          .setNetwork(network)
          .addTargetTags("web")
          .setDescription("Allowing TCP traffic on port 80 and 443 from Internet.")
          .build();

      /* Note that the default value of priority for the firewall API is 1000.
         If you check the value of `firewallRule.getPriority()` at this point it
         will be equal to 0, however it is not treated as "set" by the library and thus
         the default will be applied to the new rule. If you want to create a rule that
         has priority == 0, you'll need to explicitly set it so: setPriority(0) */

      InsertFirewallRequest insertFirewallRequest = InsertFirewallRequest.newBuilder()
          .setFirewallResource(firewallRule)
          .setProject(project).build();

      firewallsClient.insertAsync(insertFirewallRequest).get(3, TimeUnit.MINUTES);

      System.out.println("Firewall rule created successfully -> " + firewallRuleName);
    }
  }
}

Node.js

/**
 * TODO(developer): Uncomment and replace these variables before running the sample.
 */
// const projectId = 'YOUR_PROJECT_ID';
// const firewallRuleName = 'YOUR_FIREWALL_RULE_NAME'
// const networkName = 'global/networks/default'

const compute = require('@google-cloud/compute');
const computeProtos = compute.protos.google.cloud.compute.v1;

async function createFirewallRule() {
  const firewallsClient = new compute.FirewallsClient();
  const operationsClient = new compute.GlobalOperationsClient();

  const firewallRule = new computeProtos.Firewall();
  firewallRule.name = firewallRuleName;
  firewallRule.direction = 'INGRESS';
  firewallRule.allowed = [
    {
      IPProtocol: 'tcp',
      ports: ['80', '443'],
    },
  ];
  firewallRule.targetTags = ['web'];
  firewallRule.network = networkName;
  firewallRule.description =
    'Allowing TCP traffic on port 80 and 443 from Internet.';

  // Note that the default value of priority for the firewall API is 1000.
  // If you check the value of `firewallRule.priority` at this point it
  // will be equal to null, however it is not treated as "set" by the library and thus
  // the default will be applied to the new rule. If you want to create a rule that
  // has priority == 0, you need to explicitly set it so:

  // firewallRule.priority = 0

  const [response] = await firewallsClient.insert({
    project: projectId,
    firewallResource: firewallRule,
  });
  let operation = response.latestResponse;

  // Wait for the create operation to complete.
  while (operation.status !== 'DONE') {
    [operation] = await operationsClient.wait({
      operation: operation.name,
      project: projectId,
    });
  }

  console.log('Firewall rule created');
}

createFirewallRule();

PHP

use Google\Cloud\Compute\V1\Allowed;
use Google\Cloud\Compute\V1\Client\FirewallsClient;
use Google\Cloud\Compute\V1\Enums\Firewall\Direction;

/**
 * To correctly handle string enums in Cloud Compute library
 * use constants defined in the Enums subfolder.
 */
use Google\Cloud\Compute\V1\Firewall;
use Google\Cloud\Compute\V1\InsertFirewallRequest;

/**
 * Creates a simple firewall rule allowing incoming HTTP and HTTPS access from the entire internet.
 *
 * @param string $projectId Project ID or project number of the Cloud project you want to create a rule for.
 * @param string $firewallRuleName Name of the rule that is created.
 * @param string $network Name of the network the rule will be applied to. Available name formats:
 *                        https://www.googleapis.com/compute/v1/projects/{project_id}/global/networks/{network}
 *                        projects/{project_id}/global/networks/{network}
 *                        global/networks/{network}
 *
 * @throws \Google\ApiCore\ApiException if the remote call fails.
 * @throws \Google\ApiCore\ValidationException if local error occurs before remote call.
 */

function create_firewall_rule(string $projectId, string $firewallRuleName, string $network = 'global/networks/default')
{
    $firewallsClient = new FirewallsClient();
    $allowedPorts = (new Allowed())
      ->setIPProtocol('tcp')
      ->setPorts(['80', '443']);
    $firewallResource = (new Firewall())
      ->setName($firewallRuleName)
      ->setDirection(Direction::INGRESS)
      ->setAllowed([$allowedPorts])
      ->setSourceRanges(['0.0.0.0/0'])
      ->setTargetTags(['web'])
      ->setNetwork($network)
      ->setDescription('Allowing TCP traffic on ports 80 and 443 from Internet.');

    /**
    * Note that the default value of priority for the firewall API is 1000.
    * If you check the value of its priority at this point it will be
    * equal to 0, however it is not treated as "set" by the library and thus
    * the default will be applied to the new rule. If you want to create a rule
    * that has priority == 0, you need to explicitly set it so:
    *
    *   $firewallResource->setPriority(0);
    */

    //Create the firewall rule using Firewalls Client.
    $request = (new InsertFirewallRequest())
        ->setFirewallResource($firewallResource)
        ->setProject($projectId);
    $operation = $firewallsClient->insert($request);

    // Wait for the operation to complete.
    $operation->pollUntilComplete();
    if ($operation->operationSucceeded()) {
        printf('Created rule %s.' . PHP_EOL, $firewallRuleName);
    } else {
        $error = $operation->getError();
        printf('Firewall rule creation failed: %s' . PHP_EOL, $error?->getMessage());
    }
}

Python

from __future__ import annotations

import sys
from typing import Any

from google.api_core.extended_operation import ExtendedOperation
from google.cloud import compute_v1


def wait_for_extended_operation(
    operation: ExtendedOperation, verbose_name: str = "operation", timeout: int = 300
) -> Any:
    """
    Waits for the extended (long-running) operation to complete.

    If the operation is successful, it will return its result.
    If the operation ends with an error, an exception will be raised.
    If there were any warnings during the execution of the operation
    they will be printed to sys.stderr.

    Args:
        operation: a long-running operation you want to wait on.
        verbose_name: (optional) a more verbose name of the operation,
            used only during error and warning reporting.
        timeout: how long (in seconds) to wait for operation to finish.
            If None, wait indefinitely.

    Returns:
        Whatever the operation.result() returns.

    Raises:
        This method will raise the exception received from `operation.exception()`
        or RuntimeError if there is no exception set, but there is an `error_code`
        set for the `operation`.

        In case of an operation taking longer than `timeout` seconds to complete,
        a `concurrent.futures.TimeoutError` will be raised.
    """
    result = operation.result(timeout=timeout)

    if operation.error_code:
        print(
            f"Error during {verbose_name}: [Code: {operation.error_code}]: {operation.error_message}",
            file=sys.stderr,
            flush=True,
        )
        print(f"Operation ID: {operation.name}", file=sys.stderr, flush=True)
        raise operation.exception() or RuntimeError(operation.error_message)

    if operation.warnings:
        print(f"Warnings during {verbose_name}:\n", file=sys.stderr, flush=True)
        for warning in operation.warnings:
            print(f" - {warning.code}: {warning.message}", file=sys.stderr, flush=True)

    return result


def create_firewall_rule(
    project_id: str, firewall_rule_name: str, network: str = "global/networks/default"
) -> compute_v1.Firewall:
    """
    Creates a simple firewall rule allowing for incoming HTTP and HTTPS access from the entire Internet.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        firewall_rule_name: name of the rule that is created.
        network: name of the network the rule will be applied to. Available name formats:
            * https://www.googleapis.com/compute/v1/projects/{project_id}/global/networks/{network}
            * projects/{project_id}/global/networks/{network}
            * global/networks/{network}

    Returns:
        A Firewall object.
    """
    firewall_rule = compute_v1.Firewall()
    firewall_rule.name = firewall_rule_name
    firewall_rule.direction = "INGRESS"

    allowed_ports = compute_v1.Allowed()
    allowed_ports.I_p_protocol = "tcp"
    allowed_ports.ports = ["80", "443"]

    firewall_rule.allowed = [allowed_ports]
    firewall_rule.source_ranges = ["0.0.0.0/0"]
    firewall_rule.network = network
    firewall_rule.description = "Allowing TCP traffic on port 80 and 443 from Internet."

    firewall_rule.target_tags = ["web"]

    # Note that the default value of priority for the firewall API is 1000.
    # If you check the value of `firewall_rule.priority` at this point it
    # will be equal to 0, however it is not treated as "set" by the library and thus
    # the default will be applied to the new rule. If you want to create a rule that
    # has priority == 0, you need to explicitly set it so:
    # TODO: Uncomment to set the priority to 0
    # firewall_rule.priority = 0

    firewall_client = compute_v1.FirewallsClient()
    operation = firewall_client.insert(
        project=project_id, firewall_resource=firewall_rule
    )

    wait_for_extended_operation(operation, "firewall rule creation")

    return firewall_client.get(project=project_id, firewall=firewall_rule_name)

Ruby


require "google/cloud/compute/v1"

# Creates a simple firewall rule allowing for incoming HTTP and HTTPS access from the entire Internet.
#
# @param [String] project project ID or project number of the Cloud project you want to use.
# @param [String] name: name of the rule that is created.
# @param network: name of the network the rule will be applied to. Available name formats:
#         * https://www.googleapis.com/compute/v1/projects/{project_id}/global/networks/{network}
#         * projects/{project_id}/global/networks/{network}
#         * global/networks/{network}
def create_firewall_rule project:, name:, network: "global/networks/default"
  rule = {
    name: name,
    direction: "INGRESS",
    allowed: [{
      I_p_protocol: "tcp",
      ports: ["80", "443"]
    }],
    source_ranges: ["0.0.0.0/0"],
    network: network,
    description: "Allowing TCP traffic on port 80 and 443 from Internet.",
    target_tags: ["web"]
  }

  # Note that the default value of priority for the firewall API is 1000.
  # If you want to create a rule that has priority == 0, you need to explicitly set it:
  #   rule[:priority] = 0
  # Use `rule.has_key? :priority` to check if the priority has been set.
  # Use `rule.delete :priority` method to unset the priority.

  request = {
    firewall_resource: rule,
    project: project
  }

  client = ::Google::Cloud::Compute::V1::Firewalls::Rest::Client.new
  operation = client.insert request

  wait_until_done operation: operation
end

Aggiorna le regole firewall VPC

Puoi modificare alcuni componenti di una regola firewall VPC, ad esempio i protocolli e le porte di destinazione specificati per la condizione di corrispondenza. Non puoi modificare il nome, la rete, l'azione in caso di corrispondenza e la direzione del traffico di una regola firewall.

Se devi modificare il nome, la rete o il componente di azione o direzione, devi eliminare la regola e crearne una nuova.

Se vuoi aggiungere o rimuovere più service account, utilizza gcloud CLI, l'API o le librerie client. Non puoi utilizzare la console Google Cloud per specificare più service account di destinazione o service account di origine.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.update

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

Console

Nella console Google Cloud , vai alla pagina Policy firewall.

Vai a Criteri firewall
Fai clic sulla regola firewall che vuoi modificare.
Fai clic su Modifica.
Modifica uno dei componenti modificabili in base alle tue esigenze.
Fai clic su Salva.

gcloud

Per aggiornare le regole firewall VPC, utilizza il comando gcloud compute firewall-rules update:

gcloud compute firewall-rules update RULE_NAME \
    [--priority=PRIORITY] \
    [--description=DESCRIPTION] \
    [--target-tags=TAG,...] \
    [--target-service-accounts=IAM_SERVICE_ACCOUNT,_] \
    [--source-ranges=CIDR_RANGE,...] \
    [--source-tags=TAG,...] \
    [--source-service-accounts=IAM_SERVICE_ACCOUNT,_] \
    [--destination-ranges=CIDR_RANGE,...] \
    [--rules=[PROTOCOL[:PORT[-PORT]],…]] \
    [--disabled | --no-disabled] \
    [--enable-logging | --no-enable-logging]

Le descrizioni di ogni flag sono le stesse della creazione di regole firewall e sono disponibili ulteriori dettagli su ciascun flag nella documentazione di riferimento dell'SDK.

API

Utilizza PATCH per aggiornare i seguenti campi: allowed, description, sourceRanges, sourceTags o targetTags. Utilizza PUT o POST per tutti gli altri campi.

(PATCH|(POST|PUT)) https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "network": "projects/PROJECT-ID/global/networks/NETWORK",
  ... other fields
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui si trova la rete VPC.
NETWORK: il nome della rete VPC in cui si trova la regola firewall.
RULE_NAME: il nome della regola firewall da aggiornare.

Per ulteriori informazioni e descrizioni di ogni campo, consulta il metodo firewalls.patch o firewalls.update.

C#


using Google.Cloud.Compute.V1;
using System.Threading.Tasks;

public class PatchFirewallRuleAsyncSample
{
    public async Task PatchFirewallRuleAsync(
        // TODO(developer): Set your own default values for these parameters or pass different values when calling this method.
        string projectId = "your-project-id",
        string firewallRuleName = "my-test-firewall-rule",
        int newPriority = 10)
    {
        // The patch operation doesn't require the full definition of a Firewall object.
        // It will only update the values that were set in it,
        // in this case it will only change the priority.
        Firewall firewallRule = new Firewall
        {
            Priority = newPriority
        };

        // Initialize client that will be used to send requests. This client only needs to be created
        // once, and can be reused for multiple requests.
        FirewallsClient client = await FirewallsClient.CreateAsync();

        // Patch the firewall rule in the specified project.
        var firewallRulePatching = await client.PatchAsync(projectId, firewallRuleName, firewallRule);

        // Wait for the operation to complete using client-side polling.
        await firewallRulePatching.PollUntilCompletedAsync();
    }
}

Go

import (
	"context"
	"fmt"
	"io"

	compute "cloud.google.com/go/compute/apiv1"
	computepb "cloud.google.com/go/compute/apiv1/computepb"
	"google.golang.org/protobuf/proto"
)

// patchFirewallPriority modifies the priority of a given firewall rule.
func patchFirewallPriority(w io.Writer, projectID, firewallRuleName string, priority int32) error {
	// projectID := "your_project_id"
	// firewallRuleName := "europe-central2-b"
	// priority := 10

	ctx := context.Background()
	firewallsClient, err := compute.NewFirewallsRESTClient(ctx)
	if err != nil {
		return fmt.Errorf("NewInstancesRESTClient: %w", err)
	}
	defer firewallsClient.Close()

	firewallRule := &computepb.Firewall{
		Priority: proto.Int32(priority),
	}

	req := &computepb.PatchFirewallRequest{
		Project:          projectID,
		Firewall:         firewallRuleName,
		FirewallResource: firewallRule,
	}

	// The patch operation doesn't require the full definition of a Firewall interface. It will only update
	// the values that were set in it, in this case it will only change the priority.
	op, err := firewallsClient.Patch(ctx, req)
	if err != nil {
		return fmt.Errorf("unable to patch firewall rule: %w", err)
	}

	if err = op.Wait(ctx); err != nil {
		return fmt.Errorf("unable to wait for the operation: %w", err)
	}

	fmt.Fprintf(w, "Firewall rule updated\n")

	return nil
}

Java


import com.google.api.gax.longrunning.OperationFuture;
import com.google.cloud.compute.v1.Firewall;
import com.google.cloud.compute.v1.FirewallsClient;
import com.google.cloud.compute.v1.Operation;
import com.google.cloud.compute.v1.PatchFirewallRequest;
import java.io.IOException;
import java.util.UUID;
import java.util.concurrent.ExecutionException;
import java.util.concurrent.TimeUnit;
import java.util.concurrent.TimeoutException;

public class PatchFirewallRule {

  public static void main(String[] args)
      throws IOException, ExecutionException, InterruptedException, TimeoutException {
    // TODO(developer): Replace these variables before running the sample
    // project: project ID or project number of the Cloud project you want to use.
    // firewallRuleName: name of the rule you want to modify.
    // priority: the new priority to be set for the rule.
    String project = "your-project-id";
    String firewallRuleName = "firewall-rule-name-" + UUID.randomUUID();
    int priority = 10;

    patchFirewallPriority(project, firewallRuleName, priority);
  }

  // Modifies the priority of a given firewall rule.
  public static void patchFirewallPriority(String project, String firewallRuleName, int priority)
      throws IOException, ExecutionException, InterruptedException, TimeoutException {
    /* Initialize client that will be used to send requests. This client only needs to be created
       once, and can be reused for multiple requests. After completing all of your requests, call
       the `firewallsClient.close()` method on the client to safely
       clean up any remaining background resources. */
    try (FirewallsClient firewallsClient = FirewallsClient.create()) {

      /* The patch operation doesn't require the full definition of a Firewall object. It will only 
         update the values that were set in it, in this case it will only change the priority. */
      Firewall firewall = Firewall.newBuilder()
          .setPriority(priority).build();

      PatchFirewallRequest patchFirewallRequest = PatchFirewallRequest.newBuilder()
          .setProject(project)
          .setFirewall(firewallRuleName)
          .setFirewallResource(firewall).build();

      OperationFuture<Operation, Operation> operation = firewallsClient.patchAsync(
          patchFirewallRequest);
      operation.get(3, TimeUnit.MINUTES);
      System.out.println("Firewall Patch applied successfully ! ");
    }
  }
}

Node.js

/**
 * TODO(developer): Uncomment and replace these variables before running the sample.
 */
// const projectId = 'YOUR_PROJECT_ID';
// const firewallRuleName = 'FIREWALL_RULE_NAME';
// const priority = 10;

const compute = require('@google-cloud/compute');
const computeProtos = compute.protos.google.cloud.compute.v1;

async function patchFirewallPriority() {
  const firewallsClient = new compute.FirewallsClient();
  const operationsClient = new compute.GlobalOperationsClient();

  const firewallRule = new computeProtos.Firewall();
  firewallRule.priority = priority;

  // The patch operation doesn't require the full definition of a Firewall object. It will only update
  // the values that were set in it, in this case it will only change the priority.
  const [response] = await firewallsClient.patch({
    project: projectId,
    firewall: firewallRuleName,
    firewallResource: firewallRule,
  });
  let operation = response.latestResponse;

  // Wait for the create operation to complete.
  while (operation.status !== 'DONE') {
    [operation] = await operationsClient.wait({
      operation: operation.name,
      project: projectId,
    });
  }

  console.log('Firewall rule updated');
}

patchFirewallPriority();

PHP

use Google\Cloud\Compute\V1\Client\FirewallsClient;
use Google\Cloud\Compute\V1\Firewall;
use Google\Cloud\Compute\V1\PatchFirewallRequest;

/**
 * Modifies the priority of a given firewall rule.
 *
 * @param string $projectId Project ID or project number of the Cloud project you want to patch a rule from.
 * @param string $firewallRuleName Name of the rule that you want to modify.
 * @param int $priority The new priority to be set for the rule.
 *
 * @throws \Google\ApiCore\ApiException if the remote call fails.
 * @throws \Google\ApiCore\ValidationException if local error occurs before remote call.
 */
function patch_firewall_priority(string $projectId, string $firewallRuleName, int $priority)
{
    $firewallsClient = new FirewallsClient();
    $firewallResource = (new Firewall())->setPriority($priority);

    // The patch operation doesn't require the full definition of a Firewall object. It will only update
    // the values that were set in it, in this case it will only change the priority.
    $request = (new PatchFirewallRequest())
        ->setFirewall($firewallRuleName)
        ->setFirewallResource($firewallResource)
        ->setProject($projectId);
    $operation = $firewallsClient->patch($request);

    // Wait for the operation to complete.
    $operation->pollUntilComplete();
    if ($operation->operationSucceeded()) {
        printf('Patched %s priority to %d.' . PHP_EOL, $firewallRuleName, $priority);
    } else {
        $error = $operation->getError();
        printf('Patching failed: %s' . PHP_EOL, $error?->getMessage());
    }
}

Python

from __future__ import annotations

import sys
from typing import Any

from google.api_core.extended_operation import ExtendedOperation
from google.cloud import compute_v1


def wait_for_extended_operation(
    operation: ExtendedOperation, verbose_name: str = "operation", timeout: int = 300
) -> Any:
    """
    Waits for the extended (long-running) operation to complete.

    If the operation is successful, it will return its result.
    If the operation ends with an error, an exception will be raised.
    If there were any warnings during the execution of the operation
    they will be printed to sys.stderr.

    Args:
        operation: a long-running operation you want to wait on.
        verbose_name: (optional) a more verbose name of the operation,
            used only during error and warning reporting.
        timeout: how long (in seconds) to wait for operation to finish.
            If None, wait indefinitely.

    Returns:
        Whatever the operation.result() returns.

    Raises:
        This method will raise the exception received from `operation.exception()`
        or RuntimeError if there is no exception set, but there is an `error_code`
        set for the `operation`.

        In case of an operation taking longer than `timeout` seconds to complete,
        a `concurrent.futures.TimeoutError` will be raised.
    """
    result = operation.result(timeout=timeout)

    if operation.error_code:
        print(
            f"Error during {verbose_name}: [Code: {operation.error_code}]: {operation.error_message}",
            file=sys.stderr,
            flush=True,
        )
        print(f"Operation ID: {operation.name}", file=sys.stderr, flush=True)
        raise operation.exception() or RuntimeError(operation.error_message)

    if operation.warnings:
        print(f"Warnings during {verbose_name}:\n", file=sys.stderr, flush=True)
        for warning in operation.warnings:
            print(f" - {warning.code}: {warning.message}", file=sys.stderr, flush=True)

    return result


def patch_firewall_priority(
    project_id: str, firewall_rule_name: str, priority: int
) -> None:
    """
    Modifies the priority of a given firewall rule.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        firewall_rule_name: name of the rule you want to modify.
        priority: the new priority to be set for the rule.
    """
    firewall_rule = compute_v1.Firewall()
    firewall_rule.priority = priority

    # The patch operation doesn't require the full definition of a Firewall object. It will only update
    # the values that were set in it, in this case it will only change the priority.
    firewall_client = compute_v1.FirewallsClient()
    operation = firewall_client.patch(
        project=project_id, firewall=firewall_rule_name, firewall_resource=firewall_rule
    )

    wait_for_extended_operation(operation, "firewall rule patching")

Ruby


require "google/cloud/compute/v1"

# Modifies the priority of a given firewall rule.
#
# @param [String] project project ID or project number of the Cloud project you want to use.
# @param [String] name name of the rule you want to modify.
# @param [Google::Protobuf::RepeatedField] allowed the repeated instances of the Allowed field in the rule.
#         Compute errors out if allowed is empty.
# @param [Integer] priority the new priority to be set for the rule.
def patch_firewall_priority project:, name:, allowed:, priority:
  allowed_arr = allowed.map do |instance|
    {
      I_p_protocol: instance.I_p_protocol,
      ports: instance.ports.to_a
    }
  end.to_a

  rule = {
    priority: priority,
    allowed: allowed_arr
  }

  request = {
    project: project,
    firewall: name,
    firewall_resource: rule
  }

  # The patch operation doesn't require the full definition of a Firewall object. It will only update
  # the values that were set in it, in this case it will only change the priority.
  client = ::Google::Cloud::Compute::V1::Firewalls::Rest::Client.new
  operation = client.patch request

  wait_until_done operation: operation
end

Elenca le regole firewall VPC per una rete VPC

Puoi elencare tutte le regole firewall VPC per il tuo progetto o per una particolare rete VPC. Per ogni regola firewall, Google Cloud mostra dettagli come il tipo, le destinazioni e i filtri della regola.

Se abiliti Logging delle regole firewall, Firewall Insights può fornire informazioni sulle tue regole firewall per aiutarti a comprendere meglio e ottimizzare in modo sicuro le loro configurazioni. Ad esempio, puoi visualizzare quali regole allow non sono state utilizzate nelle ultime sei settimane. Per saperne di più, consulta Utilizzo della schermata dei dettagli delle regole firewall nella documentazione di Firewall Insights.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.list

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Visualizzatore rete Compute (roles/compute.networkViewer)
Compute Viewer (roles/compute.viewer)

Console

Per mostrare tutte le regole firewall VPC per tutte le reti del tuo progetto:

Nella console Google Cloud , vai alla pagina Policy firewall.

Vai a Criteri firewall

Per mostrare le regole firewall VPC in una determinata rete:

Nella console Google Cloud , vai alla pagina Reti VPC.

Vai a Reti VPC
Fai clic sul nome di una rete VPC per accedere alla relativa pagina dei dettagli.
Nella pagina dei dettagli della rete, fai clic sulla scheda Firewall.
Espandi vpc-firewall-rules.

gcloud

Per generare un elenco ordinato di regole firewall VPC per una determinata rete, utilizza il comando gcloud compute firewall-rules list:

gcloud compute firewall-rules list --filter network=NETWORK \
    --sort-by priority \
    --format="table(
        name,
        network,
        direction,
        priority,
        sourceRanges.list():label=SRC_RANGES,
        destinationRanges.list():label=DEST_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        denied[].map().firewall_rule().list():label=DENY,
        sourceTags.list():label=SRC_TAGS,
        targetTags.list():label=TARGET_TAGS
        )"

Sostituisci NETWORK con il nome della rete in cui elencare le regole firewall.

API

Elenca tutte le regole firewall VPC per una determinata rete.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/?filter=network="NETWORK

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui si trova la rete VPC.
NETWORK: il nome della rete VPC che contiene le regole firewall da elencare.

Per saperne di più, consulta il metodo firewalls.list.

C#


using Google.Cloud.Compute.V1;
using System;
using System.Collections.Generic;
using System.Threading.Tasks;

public class ListFirewallRulesAsyncSample
{
    public async Task ListFirewallRulesAsync(
        // TODO(developer): Set your own default values for these parameters or pass different values when calling this method.
        string projectId = "your-project-id")
    {
        // Initialize client that will be used to send requests. This client only needs to be created
        // once, and can be reused for multiple requests.
        FirewallsClient client = await FirewallsClient.CreateAsync();

        // Make the request to list all firewall rules.
        await foreach (var firewallRule in client.ListAsync(projectId))
        {
            // The result is a Firewall sequence that you can iterate over.
            Console.WriteLine($"Firewal Rule: {firewallRule.Name}");
        }
    }
}

Go

import (
	"context"
	"fmt"
	"io"

	compute "cloud.google.com/go/compute/apiv1"
	computepb "cloud.google.com/go/compute/apiv1/computepb"
	"google.golang.org/api/iterator"
)

// listFirewallRules prints the list of firewall names and their descriptions in specified project
func listFirewallRules(w io.Writer, projectID string) error {
	// projectID := "your_project_id"

	ctx := context.Background()
	firewallsClient, err := compute.NewFirewallsRESTClient(ctx)
	if err != nil {
		return fmt.Errorf("NewInstancesRESTClient: %w", err)
	}
	defer firewallsClient.Close()

	req := &computepb.ListFirewallsRequest{
		Project: projectID,
	}

	it := firewallsClient.List(ctx, req)
	for {
		firewallRule, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			return err
		}
		fmt.Fprintf(w, "- %s: %s\n", firewallRule.GetName(), firewallRule.GetDescription())
	}

	return nil
}

Java


import com.google.cloud.compute.v1.Firewall;
import com.google.cloud.compute.v1.FirewallsClient;
import com.google.cloud.compute.v1.FirewallsClient.ListPagedResponse;
import java.io.IOException;

public class ListFirewallRules {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace these variables before running the sample
    // project: project ID or project number of the Cloud project you want to use.
    String project = "your-project-id";
    listFirewallRules(project);
  }

  // Return a list of all the firewall rules in specified project.
  // Also prints the list of firewall names and their descriptions.
  public static ListPagedResponse listFirewallRules(String project)
      throws IOException {
    /* Initialize client that will be used to send requests. This client only needs to be created
       once, and can be reused for multiple requests. After completing all of your requests, call
       the `firewallsClient.close()` method on the client to safely
       clean up any remaining background resources. */
    try (FirewallsClient firewallsClient = FirewallsClient.create()) {
      ListPagedResponse firewallResponse = firewallsClient.list(project);
      for (Firewall firewall : firewallResponse.iterateAll()) {
        System.out.println(firewall.getName());
      }
      return firewallResponse;
    }
  }
}

Node.js

/**
 * TODO(developer): Uncomment and replace these variables before running the sample.
 */
// const projectId = 'YOUR_PROJECT_ID';

const compute = require('@google-cloud/compute');

async function listFirewallRules() {
  const firewallsClient = new compute.FirewallsClient();

  const [firewallRules] = await firewallsClient.list({
    project: projectId,
  });

  for (const rule of firewallRules) {
    console.log(` - ${rule.name}: ${rule.description}`);
  }
}

listFirewallRules();

PHP

use Google\Cloud\Compute\V1\Client\FirewallsClient;
use Google\Cloud\Compute\V1\ListFirewallsRequest;

/**
 * Return a list of all the firewall rules in specified project. Also prints the
 * list of firewall names and their descriptions.
 *
 * @param string $projectId Project ID or project number of the Cloud project you want to list rules from.
 *
 * @throws \Google\ApiCore\ApiException if the remote call fails.
 */
function list_firewall_rules(string $projectId)
{
    // List all firewall rules defined for the project using Firewalls Client.
    $firewallClient = new FirewallsClient();
    $request = (new ListFirewallsRequest())
        ->setProject($projectId);
    $firewallList = $firewallClient->list($request);

    print('--- Firewall Rules ---' . PHP_EOL);
    foreach ($firewallList->iterateAllElements() as $firewall) {
        printf(' -  %s : %s : %s' . PHP_EOL, $firewall->getName(), $firewall->getDescription(), $firewall->getNetwork());
    }
}

Python

from __future__ import annotations

from collections.abc import Iterable

from google.cloud import compute_v1


def list_firewall_rules(project_id: str) -> Iterable[compute_v1.Firewall]:
    """
    Return a list of all the firewall rules in specified project. Also prints the
    list of firewall names and their descriptions.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.

    Returns:
        A flat list of all firewall rules defined for given project.
    """
    firewall_client = compute_v1.FirewallsClient()
    firewalls_list = firewall_client.list(project=project_id)

    for firewall in firewalls_list:
        print(f" - {firewall.name}: {firewall.description}")

    return firewalls_list

Ruby


require "google/cloud/compute/v1"

# Return a list of all the firewall rules in specified project. Also prints the
# list of firewall names and their descriptions.
#
# @param [String] project project ID or project number of the project you want to use.
# @return [Array<::Google::Cloud::Compute::V1::Firewall>]
#     A list of all firewall rules defined for the given project.
def list_firewall_rules project:
  client = ::Google::Cloud::Compute::V1::Firewalls::Rest::Client.new
  firewalls = client.list project: project

  firewall_list = []
  firewalls.each do |firewall|
    puts " - #{firewall.name}: #{firewall.description}"
    firewall_list << firewall
  end

  firewall_list
end

Elenca le regole firewall VPC per un'interfaccia di rete di un'istanza VM

Per ogni interfaccia di rete, la console elenca tutte le regole firewall VPC che si applicano all'interfaccia e le regole effettivamente utilizzate dall'interfaccia. Google Cloud Le regole firewall possono mascherare altre regole, quindi non tutte le regole che si applicano a un'interfaccia potrebbero essere effettivamente utilizzate dall'interfaccia.

Le regole firewall sono associate alle istanze VM e vengono applicate a queste tramite il parametro di destinazione di una regola. Visualizzando tutte le regole applicate, puoi verificare se una determinata regola viene applicata a un'interfaccia.

Se abiliti Logging delle regole firewall, Firewall Insights può fornire informazioni sulle tue regole firewall per aiutarti a comprendere meglio e ottimizzare in modo sicuro le loro configurazioni. Ad esempio, puoi visualizzare quali regole su un'interfaccia sono state attivate nelle ultime sei settimane. Per saperne di più, consulta la sezione Utilizzo della schermata dei dettagli dell'interfaccia di rete della VM nella documentazione di Firewall Insights.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.list

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Visualizzatore rete Compute (roles/compute.networkViewer)
Compute Viewer (roles/compute.viewer)

Console

Per visualizzare le regole VPC che si applicano a un'interfaccia di rete specifica di un'istanza VM:

Nella console Google Cloud , vai alla pagina Istanze VM.

Vai a Istanze VM
Trova l'istanza da visualizzare.
Nel menu Altre azioni () dell'istanza, seleziona Visualizza dettagli rete.
Se un'istanza ha più interfacce di rete, seleziona quella da visualizzare nel campo Interfaccia di rete selezionata.
Nella sezione Dettagli firewall e route, seleziona la scheda Firewall.
Espandi vpc-firewall-rules.
Visualizza la tabella per determinare se il traffico da o verso un indirizzo IP specifico è consentito.

Visualizza i dettagli delle regole firewall VPC

Puoi esaminare una regola firewall VPC per visualizzarne il nome, la rete applicabile e i componenti, incluso se la regola è abilitata o disabilitata.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.get

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Visualizzatore rete Compute (roles/compute.networkViewer)
Compute Viewer (roles/compute.viewer)

Console

Elenca le regole firewall. Puoi visualizzare un elenco di tutte le regole o solo di quelle di una determinata rete.
Fai clic sulla regola da visualizzare.

gcloud

Il seguente comando descrive una singola regola firewall VPC. Poiché i nomi delle regole firewall sono univoci per il progetto, non devi specificare una rete quando descrivi una regola firewall esistente.

gcloud compute firewall-rules describe RULE_NAME

Sostituisci RULE_NAME con il nome della regola firewall.

API

Descrivi una determinata regola firewall VPC.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME

Sostituisci i segnaposto con valori validi:

PROJECT_ID: l'ID del progetto in cui si trova la regola firewall.
RULE_NAME: il nome della regola firewall da descrivere.

Per saperne di più, consulta il metodo firewalls.get.

Elimina le regole firewall VPC

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.delete

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

Console

Elenca le regole firewall VPC. Puoi visualizzare un elenco di tutte le regole o solo quelle di una determinata rete.
Fai clic sulla regola da eliminare.
Fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare una regola firewall VPC, utilizza il comando gcloud compute firewall-rules delete:

gcloud compute firewall-rules delete RULE_NAME

Sostituisci RULE_NAME con il nome della regola da eliminare.

API

Elimina una regola firewall VPC.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui si trova la regola firewall.
RULE_NAME: il nome della regola firewall da eliminare.

Per saperne di più, consulta il metodo firewalls.delete.

C#


using Google.Cloud.Compute.V1;
using System.Threading.Tasks;

public class DeleteFirewallRuleAsyncSample
{
    public async Task DeleteFirewallRuleAsync(
        // TODO(developer): Set your own default values for these parameters or pass different values when calling this method.
        string projectId = "your-project-id",
        string firewallRuleName = "my-test-firewall-rule")
    {

        // Initialize client that will be used to send requests. This client only needs to be created
        // once, and can be reused for multiple requests.
        FirewallsClient client = await FirewallsClient.CreateAsync();

        // Make the request to delete the firewall rule.
        var firewallRuleDeletion = await client.DeleteAsync(projectId, firewallRuleName);

        // Wait for the operation to complete using client-side polling.
        await firewallRuleDeletion.PollUntilCompletedAsync();
    }
}

Go

import (
	"context"
	"fmt"
	"io"

	compute "cloud.google.com/go/compute/apiv1"
	computepb "cloud.google.com/go/compute/apiv1/computepb"
)

// deleteFirewallRule deletes a firewall rule from the project.
func deleteFirewallRule(w io.Writer, projectID, firewallRuleName string) error {
	// projectID := "your_project_id"
	// firewallRuleName := "europe-central2-b"

	ctx := context.Background()
	firewallsClient, err := compute.NewFirewallsRESTClient(ctx)
	if err != nil {
		return fmt.Errorf("NewInstancesRESTClient: %w", err)
	}
	defer firewallsClient.Close()

	req := &computepb.DeleteFirewallRequest{
		Project:  projectID,
		Firewall: firewallRuleName,
	}

	op, err := firewallsClient.Delete(ctx, req)
	if err != nil {
		return fmt.Errorf("unable to delete firewall rule: %w", err)
	}

	if err = op.Wait(ctx); err != nil {
		return fmt.Errorf("unable to wait for the operation: %w", err)
	}

	fmt.Fprintf(w, "Firewall rule deleted\n")

	return nil
}

Java


import com.google.api.gax.longrunning.OperationFuture;
import com.google.cloud.compute.v1.FirewallsClient;
import com.google.cloud.compute.v1.Operation;
import java.io.IOException;
import java.util.UUID;
import java.util.concurrent.ExecutionException;
import java.util.concurrent.TimeUnit;
import java.util.concurrent.TimeoutException;

public class DeleteFirewallRule {

  public static void main(String[] args)
      throws IOException, ExecutionException, InterruptedException, TimeoutException {
    // TODO(developer): Replace these variables before running the sample
    // project: project ID or project number of the Cloud project you want to use.
    // firewallRuleName: name of the firewall rule you want to delete.
    String project = "your-project-id";
    String firewallRuleName = "firewall-rule-name-" + UUID.randomUUID();
    deleteFirewallRule(project, firewallRuleName);
  }


  // Deletes a firewall rule from the project.
  public static void deleteFirewallRule(String project, String firewallRuleName)
      throws IOException, ExecutionException, InterruptedException, TimeoutException {
    /* Initialize client that will be used to send requests. This client only needs to be created
       once, and can be reused for multiple requests. After completing all of your requests, call
       the `firewallsClient.close()` method on the client to safely
       clean up any remaining background resources. */
    try (FirewallsClient firewallsClient = FirewallsClient.create()) {

      OperationFuture<Operation, Operation> operation = firewallsClient.deleteAsync(project,
          firewallRuleName);
      operation.get(3, TimeUnit.MINUTES);

      System.out.println("Deleted firewall rule -> " + firewallRuleName);
    }
  }
}

Node.js

/**
 * TODO(developer): Uncomment and replace these variables before running the sample.
 */
// const projectId = 'YOUR_PROJECT_ID';
// const firewallRuleName = 'FIREWALL_RULE_NAME';

const compute = require('@google-cloud/compute');

async function deleteFirewallRule() {
  const firewallsClient = new compute.FirewallsClient();
  const operationsClient = new compute.GlobalOperationsClient();

  const [response] = await firewallsClient.delete({
    project: projectId,
    firewall: firewallRuleName,
  });
  let operation = response.latestResponse;

  // Wait for the create operation to complete.
  while (operation.status !== 'DONE') {
    [operation] = await operationsClient.wait({
      operation: operation.name,
      project: projectId,
    });
  }

  console.log('Firewall rule deleted');
}

deleteFirewallRule();

PHP

use Google\Cloud\Compute\V1\Client\FirewallsClient;
use Google\Cloud\Compute\V1\DeleteFirewallRequest;

/**
 * Delete a firewall rule from the specified project.
 *
 * @param string $projectId Project ID or project number of the Cloud project you want to delete a rule for.
 * @param string $firewallRuleName Name of the rule that is deleted.
 *
 * @throws \Google\ApiCore\ApiException if the remote call fails.
 * @throws \Google\ApiCore\ValidationException if local error occurs before remote call.
 */
function delete_firewall_rule(string $projectId, string $firewallRuleName)
{
    $firewallsClient = new FirewallsClient();

    // Delete the firewall rule using Firewalls Client.
    $request = (new DeleteFirewallRequest())
        ->setFirewall($firewallRuleName)
        ->setProject($projectId);
    $operation = $firewallsClient->delete($request);

    // Wait for the operation to complete.
    $operation->pollUntilComplete();
    if ($operation->operationSucceeded()) {
        printf('Rule %s deleted successfully!' . PHP_EOL, $firewallRuleName);
    } else {
        $error = $operation->getError();
        printf('Failed to delete firewall rule: %s' . PHP_EOL, $error?->getMessage());
    }
}

Python

from __future__ import annotations

import sys
from typing import Any

from google.api_core.extended_operation import ExtendedOperation
from google.cloud import compute_v1


def wait_for_extended_operation(
    operation: ExtendedOperation, verbose_name: str = "operation", timeout: int = 300
) -> Any:
    """
    Waits for the extended (long-running) operation to complete.

    If the operation is successful, it will return its result.
    If the operation ends with an error, an exception will be raised.
    If there were any warnings during the execution of the operation
    they will be printed to sys.stderr.

    Args:
        operation: a long-running operation you want to wait on.
        verbose_name: (optional) a more verbose name of the operation,
            used only during error and warning reporting.
        timeout: how long (in seconds) to wait for operation to finish.
            If None, wait indefinitely.

    Returns:
        Whatever the operation.result() returns.

    Raises:
        This method will raise the exception received from `operation.exception()`
        or RuntimeError if there is no exception set, but there is an `error_code`
        set for the `operation`.

        In case of an operation taking longer than `timeout` seconds to complete,
        a `concurrent.futures.TimeoutError` will be raised.
    """
    result = operation.result(timeout=timeout)

    if operation.error_code:
        print(
            f"Error during {verbose_name}: [Code: {operation.error_code}]: {operation.error_message}",
            file=sys.stderr,
            flush=True,
        )
        print(f"Operation ID: {operation.name}", file=sys.stderr, flush=True)
        raise operation.exception() or RuntimeError(operation.error_message)

    if operation.warnings:
        print(f"Warnings during {verbose_name}:\n", file=sys.stderr, flush=True)
        for warning in operation.warnings:
            print(f" - {warning.code}: {warning.message}", file=sys.stderr, flush=True)

    return result


def delete_firewall_rule(project_id: str, firewall_rule_name: str) -> None:
    """
    Deletes a firewall rule from the project.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        firewall_rule_name: name of the firewall rule you want to delete.
    """
    firewall_client = compute_v1.FirewallsClient()
    operation = firewall_client.delete(project=project_id, firewall=firewall_rule_name)

    wait_for_extended_operation(operation, "firewall rule deletion")

Ruby


require "google/cloud/compute/v1"

# Deletes a firewall rule from the project.
#
# @param [String] project project ID or project number of the Cloud project you want to use.
# @param [String] name name of the firewall rule you want to delete.
def delete_firewall_rule project:, name:
  client = ::Google::Cloud::Compute::V1::Firewalls::Rest::Client.new
  operation = client.delete project: project, firewall: name

  wait_until_done operation: operation
end

Monitora le regole firewall VPC

Puoi abilitare la registrazione per le regole firewall VPC per vedere quale regola ha consentito o bloccato quale traffico. Consulta Utilizzare il logging delle regole firewall per istruzioni.

Configurare le regole firewall VPC per i casi d'uso comuni

Le sezioni seguenti forniscono esempi di come utilizzare gcloud CLI e l'API per ricreare le regole firewall VPC predefinite create per le reti predefinite. Puoi utilizzare gli esempi per creare regole simili per le tue reti in modalità personalizzata e automatica. Ogni regola firewall può includere intervalli di indirizzi IPv4 o IPv6, ma non entrambi.

Consenti connessioni in entrata interne tra le VM

I seguenti esempi creano una regola firewall per consentire le connessioni TCP, UDP e ICMP interne alle tue istanze VM, in modo simile alla regola allow-internal per le reti predefinite.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

Utilizza il comando gcloud compute firewall-rules create:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --priority=1000 \
    --rules=tcp:0-65535,udp:0-65535,ICMP_PROTOCOL \
    --source-ranges=SUBNET_RANGES

Sostituisci quanto segue:

RULE_NAME: il nome di questa regola firewall.
NETWORK: il nome della rete a cui si applica questa regola del firewall. Il valore predefinito è default.
ICMP_PROTOCOL: il tipo di protocollo ICMP. Specifica ICMPv4 utilizzando il nome del protocollo icmp o il numero di protocollo 1. Specifica ICMPv6 utilizzando il numero di protocollo 58.
SUBNET_RANGES: uno o più intervalli di indirizzi IP. L'inclusione di un intervallo di indirizzi IP significa che il traffico proveniente da questo intervallo può raggiungere qualsiasi VM di destinazione nella rete VPC. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall.

Intervalli di subnet IPv4:
- Le reti VPC in modalità automatica utilizzano intervalli di indirizzi IP che rientrano in 10.128.0.0/9.
- Le reti in modalità personalizzata possono utilizzare qualsiasi intervallo IPv4 valido. Se non utilizzi intervalli contigui per le subnet nella rete VPC, potresti dover specificare più intervalli.
- Puoi utilizzare 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 per consentire il traffico da tutti gli intervalli di indirizzi IPv4 privati (intervalli RFC 1918).
Intervalli di subnet IPv6:
- Se hai assegnato un intervallo di indirizzi IPv6 interni alla tua rete VPC, puoi utilizzare questo intervallo come intervallo di origine. L'utilizzo dell'intervallo IPv6 interno della rete VPC significa che la regola firewall include tutti gli intervalli di subnet IPv6 interni attuali e futuri. Puoi trovare l'intervallo IPv6 interno della rete VPC utilizzando il seguente comando:
```
gcloud compute networks describe NETWORK \
  --format="flattened(internalIpv6Range)"
```
  Puoi anche specificare intervalli di subnet IPv6 interni specifici.
- Per consentire il traffico dagli intervalli di subnet IPv6 esterni, devi specificare l'intervallo di indirizzi IPv6 di ogni subnet che vuoi includere.

API

POST https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls
{
  "kind": "compute#firewall",
  "name": "RULE_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "direction": "INGRESS",
  "priority": 1000,
  "targetTags": [],
  "allowed": [
    {
      "IPProtocol": "tcp",
      "ports": [
        "0-65535"
      ]
    },
    {
      "IPProtocol": "udp",
      "ports": [
        "0-65535"
      ]
    },
    {
      "IPProtocol": "ICMP_PROTOCOL"
    }
  ],
  "sourceRanges": [
    "SUBNET_RANGES"
  ]
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui si trova la rete VPC.
RULE_NAME: il nome della regola firewall.
NETWORK: il nome della rete VPC in cui viene creata la regola firewall. Il valore predefinito è default.
ICMP_PROTOCOL: il tipo di protocollo ICMP. Specifica ICMPv4 utilizzando il nome del protocollo icmp o il numero di protocollo 1. Specifica ICMPv6 utilizzando il numero di protocollo 58.
INTERNAL_SOURCE_RANGES: uno o più intervalli IP. Per consentire il traffico interno in tutte le subnet delle tue reti VPC, specifica gli intervalli di indirizzi IP utilizzati nella tua rete VPC. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall.

Intervalli di subnet IPv4:
- Le reti VPC in modalità automatica utilizzano intervalli di indirizzi IP all'interno di 10.128.0.0/9.
- Le reti in modalità personalizzata possono utilizzare qualsiasi intervallo IPv4 valido. Se non utilizzi intervalli contigui per le subnet nella rete VPC, potresti dover specificare più intervalli.
- Puoi utilizzare 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 per consentire il traffico da tutti gli intervalli di indirizzi IPv4 privati (intervalli RFC 1918).
Intervalli di subnet IPv6:
- Se hai assegnato un intervallo di indirizzi IPv6 interni alla tua rete VPC, puoi utilizzare questo intervallo come intervallo di origine. L'utilizzo dell'intervallo IPv6 interno della rete VPC significa che la regola firewall include tutti gli intervalli di subnet IPv6 interni attuali e futuri. Puoi trovare l'intervallo IPv6 interno della rete VPC utilizzando il seguente comando:
```
gcloud compute networks describe NETWORK \
  --format="flattened(internalIpv6Range)"
```
  Puoi anche specificare intervalli di subnet IPv6 interni specifici.
- Per consentire il traffico dagli intervalli di subnet IPv6 esterni, devi specificare l'intervallo di indirizzi IPv6 di ogni subnet che vuoi includere.

Consenti connessioni SSH in entrata alle VM

Gli esempi seguenti creano una regola firewall per consentire le connessioni SSH alle tue istanze VM, simile alla regola allow-ssh per le reti predefinite.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

Utilizza il comando gcloud compute firewall-rules create:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --priority=1000 \
    --rules=tcp:22 \
    --source-ranges=RANGES_OUTSIDE_VPC_NETWORK

Sostituisci quanto segue:

RULE_NAME: il nome di questa regola firewall.
NETWORK: il nome della rete a cui si applica questa regola del firewall. Il valore predefinito è default.
RANGES_OUTSIDE_VPC_NETWORK: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.
- L'inclusione di 35.235.240.0/20 negli intervalli di origine consente le connessioni SSH che utilizzano l'inoltro TCP di Identity-Aware Proxy (IAP) se tutti gli altri prerequisiti sono soddisfatti. Per ulteriori informazioni, consulta la sezione Utilizzo di IAP per inoltro TCP.
- L'utilizzo di 0.0.0.0/0 come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud.
- L'utilizzo di ::/0 come intervallo di origine consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.

API

POST https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls
{
  "kind": "compute#firewall",
  "name": "RULE_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "direction": "INGRESS",
  "priority": 1000,
  "targetTags": [],
  "allowed": [
    {
      "IPProtocol": "tcp",
      "ports": [
        "22"
      ]
    }
  ],
  "sourceRanges": [
    "RANGES_OUTSIDE_VPC_NETWORK"
  ]
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui si trova la rete VPC.
RULE_NAME: il nome della regola firewall.
NETWORK: il nome della rete VPC in cui viene creata la regola firewall.
RANGES_OUTSIDE_VPC_NETWORK: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.
- L'inclusione di 35.235.240.0/20 negli intervalli di origine consente le connessioni SSH che utilizzano l'inoltro TCP di Identity-Aware Proxy (IAP) se tutti gli altri prerequisiti sono soddisfatti. Per ulteriori informazioni, consulta la sezione Utilizzo di IAP per inoltro TCP.
- L'utilizzo di 0.0.0.0/0 come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud.
- L'utilizzo di ::/0 come intervallo di origine consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.

Consenti connessioni RDP in entrata alle VM

Gli esempi seguenti creano una regola firewall per consentire le connessioni Microsoft Remote Desktop Protocol (RDP) alle tue istanze VM, in modo simile alla regola allow-rdp per le reti predefinite.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

Utilizza il comando gcloud compute firewall-rules create:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --priority=1000 \
    --rules=tcp:3389 \
    --source-ranges=RANGES_OUTSIDE_VPC_NETWORK

Sostituisci quanto segue:

RULE_NAME: il nome di questa regola firewall.
NETWORK: il nome della rete a cui si applica questa regola del firewall. Il valore predefinito è default.
RANGES_OUTSIDE_VPC_NETWORK: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.
- L'inclusione di 35.235.240.0/20 negli intervalli di origine consente le connessioni RDP che utilizzano l'inoltro TCP di Identity-Aware Proxy (IAP) se tutti gli altri prerequisiti sono soddisfatti. Per ulteriori informazioni, consulta la sezione Utilizzo di IAP per inoltro TCP.
- L'utilizzo di 0.0.0.0/0 come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud.
- L'utilizzo di ::/0 come intervallo di origine consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.

API

POST https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls
{
  "kind": "compute#firewall",
  "name": "RULE_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "direction": "INGRESS",
  "priority": 1000,
  "allowed": [
    {
      "IPProtocol": "tcp",
      "ports": [
        "3389"
      ]
    }
  ],
  "sourceRanges": [
    "EXTERNAL_SOURCE_RANGES"
  ]
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui si trova la rete VPC.
RULE_NAME: il nome della regola firewall.
NETWORK: il nome della rete VPC in cui viene creata la regola firewall.
RANGES_OUTSIDE_VPC_NETWORK: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.
- L'inclusione di 35.235.240.0/20 negli intervalli di origine consente le connessioni RDP che utilizzano l'inoltro TCP di Identity-Aware Proxy (IAP) se tutti gli altri prerequisiti sono soddisfatti. Per ulteriori informazioni, consulta la sezione Utilizzo di IAP per inoltro TCP.
- L'utilizzo di 0.0.0.0/0 come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud.
- L'utilizzo di ::/0 come intervallo di origine consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.

Consenti connessioni ICMP in entrata alle VM

Gli esempi seguenti creano una regola firewall per consentire le connessioni ICMP alle tue istanze VM, in modo simile alla regola allow-icmp per le reti predefinite.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

Utilizza il comando gcloud compute firewall-rules create:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --priority=1000 \
    --rules=ICMP_PROTOCOL \
    --source-ranges=RANGES_OUTSIDE_VPC_NETWORK

Sostituisci quanto segue:

RULE_NAME: il nome della regola firewall.
NETWORK: il nome della rete a cui si applica questa regola del firewall. Il valore predefinito è default.
ICMP_PROTOCOL: il tipo di protocollo ICMP. Specifica ICMPv4 utilizzando il nome del protocollo icmp o il numero di protocollo 1. Specifica ICMPv6 utilizzando il numero di protocollo 58.
RANGES_OUTSIDE_VPC_NETWORK: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.
- L'utilizzo di 0.0.0.0/0 come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud.
- L'utilizzo di ::/0 come intervallo di origine consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.

API

POST https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls
{
  "kind": "compute#firewall",
  "name": "RULE_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "direction": "INGRESS",
  "priority": 1000,
  "targetTags": [],
  "allowed": [
    {
      "IPProtocol": "ICMP_PROTOCOL"
    }
  ],
  "sourceRanges": [
    "RANGES_OUTSIDE_VPC_NETWORK"
  ]
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui si trova la rete VPC.
RULE_NAME: il nome della regola firewall.
NETWORK: il nome della rete VPC in cui viene creata la regola firewall.
ICMP_PROTOCOL: il tipo di protocollo ICMP da utilizzare. Specifica ICMPv4 utilizzando il nome del protocollo icmp o il numero di protocollo 1. Specifica ICMPv6 utilizzando il numero di protocollo 58.
RANGES_OUTSIDE_VPC_NETWORK: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.
- L'utilizzo di 0.0.0.0/0 come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud.
- L'utilizzo di ::/0 come intervallo di origine consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.

Altri esempi di configurazione

La figura 1 descrive una configurazione di esempio per una rete VPC denominata my-network. La rete contiene quanto segue:

Una subnet denominata subnet1, con intervallo IP 10.240.10.0/24 e una singola istanza
Una subnet denominata subnet2, con intervallo IP 192.168.1.0/24
Un'istanza denominata vm1 in subnet2 con un tag webserver e un indirizzo IP interno 192.168.1.2
Un'istanza denominata vm2 in subnet2 con un tag database e un indirizzo IP interno 192.168.1.3

Questa rete VPC contiene due subnet, ognuna delle quali contiene
VM; subnet2 contiene VM a cui sono stati assegnati tag di rete. — **Figura 1.** Questa rete VPC contiene due subnet, ognuna delle quali contiene VM; subnet2 contiene VM a cui sono stati assegnati tag di rete (fai clic per ingrandire).

Esempio 1: nega tutte le connessioni TCP in entrata, tranne quelle alla porta 80 dalla subnet1

Questo esempio crea un insieme di regole VPC firewall che negano tutte le connessioni TCP in entrata, tranne quelle destinate alla porta 80 da subnet1.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

Crea una regola firewall per negare tutto il traffico TCP in entrata alle istanze contrassegnate con webserver.

gcloud compute firewall-rules create deny-subnet1-webserver-access \
    --network NETWORK_NAME \
    --action deny \
    --direction INGRESS \
    --rules tcp \
    --source-ranges 0.0.0.0/0 \
    --priority 1000 \
    --target-tags webserver

Sostituisci NETWORK_NAME con il nome della rete.

Crea una regola firewall per consentire a tutti gli indirizzi IP in subnet1 (10.240.10.0/24) di accedere alla porta TCP 80 sulle istanze taggate con webserver.

gcloud compute firewall-rules create vm1-allow-ingress-tcp-port80-from-subnet1 \
    --network NETWORK_NAME \
    --action allow \
    --direction INGRESS \
    --rules tcp:80 \
    --source-ranges 10.240.10.0/24 \
    --priority 50 \
    --target-tags webserver

Sostituisci NETWORK_NAME con il nome della rete.

Esempio 2: nega tutte le connessioni TCP in uscita, ad eccezione di quelle alla porta 80 di vm1

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

Crea una regola firewall per negare tutto il traffico TCP in uscita.

gcloud compute firewall-rules create deny-all-access \
    --network NETWORK_NAME \
    --action deny \
    --direction EGRESS \
    --rules tcp \
    --destination-ranges 0.0.0.0/0 \
    --priority 1000

Sostituisci NETWORK_NAME con il nome della rete.

Crea una regola firewall per consentire il traffico TCP destinato alla porta 80 di vm1.

gcloud compute firewall-rules create vm1-allow-egress-tcp-port80-to-vm1 \
    --network NETWORK_NAME \
    --action allow \
    --direction EGRESS \
    --rules tcp:80 \
    --destination-ranges 192.168.1.2/32 \
    --priority 60

Sostituisci NETWORK_NAME con il nome della rete.

Esempio 3: consenti connessioni TCP in uscita alla porta 443 di un host esterno

Crea una regola firewall che consenta alle istanze taggate con webserver di inviare traffico TCP in uscita alla porta 443 di un indirizzo IP esterno di esempio, 192.0.2.5.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

gcloud compute firewall-rules create vm1-allow-egress-tcp-port443-to-192-0-2-5 \
    --network NETWORK_NAME \
    --action allow \
    --direction EGRESS \
    --rules tcp:443 \
    --destination-ranges 192.0.2.5/32 \
    --priority 70 \
    --target-tags webserver

Sostituisci NETWORK_NAME con il nome della rete.

Esempio 4: consenti connessioni SSH da vm2 a vm1

Crea una regola firewall che consenta al traffico SSH dalle istanze con il tag database (vm2) di raggiungere le istanze con il tag webserver (vm1).

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

gcloud compute firewall-rules create vm1-allow-ingress-tcp-ssh-from-vm2 \
    --network NETWORK_NAME \
    --action allow \
    --direction INGRESS \
    --rules tcp:22 \
    --source-tags database \
    --priority 80 \
    --target-tags webserver

Sostituisci NETWORK_NAME con il nome della rete.

Esempio 5: consenti TCP:1443 dal web server al database utilizzando gli account di servizio

Per ulteriori informazioni sui service account e sui ruoli, vedi Concedere ruoli ai service account.

Considera lo scenario nella figura 2, in cui sono presenti due applicazioni che vengono scalate automaticamente tramite modelli: un'applicazione webserver associata a uaccount di serviziont my-sa-webserver e un'applicazione di database associata a account di serviziount my-sa-database. Un amministratore della sicurezza vuole consentire il traffico TCP dalle VM con il service account my-sa-webserver alla porta di destinazione 1443 delle VM con il service account my-sa-database.

Una regola firewall consente il traffico da una VM con il account di servizio
my-sa-webserver alla porta 1443 di una VM con il account di servizio
my-sa-database. — **Figura 2.** Una regola firewall consente il traffico da una VM con il account di servizio my-sa-webserver alla porta 1443 di una VM con il service account my-sa-database (fai clic per ingrandire).

I passaggi di configurazione, inclusa la creazione degli account di servizio, sono i seguenti.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.create

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)

gcloud

Un EDITOR progetto o un PROPRIETARIO progetto crea i service account my-sa-webserver e my-sa-database.

gcloud iam service-accounts create my-sa-webserver \
    --display-name "webserver service account"

gcloud iam service-accounts create my-sa-database \
    --display-name "database service account"

Un PROPRIETARIO del progetto assegna allo sviluppatore del web server [email protected] un ruolo serviceAccountUser per account di servizio my-sa-webserver impostando un criterio Identity and Access Management (IAM).
```
gcloud iam service-accounts add-iam-policy-binding \
[email protected] \
    --member='user:[email protected]' \
    --role='roles/iam.serviceAccountUser'
```
Un PROPRIETARIO del progetto assegna allo sviluppatore di database [email protected] un ruolo serviceAccountUser per account di servizio my-sa-database impostando un criterio IAM.
```
gcloud iam service-accounts add-iam-policy-binding \
[email protected] \
    --member='user:[email protected]' \
    --role='roles/iam.serviceAccountUser'
```
Lo sviluppatore [email protected], che ha il ruolo Amministratore istanza, crea un modello di istanza del web server e autorizza le istanze a essere eseguite come account di servizio my-sa-webserver.
```
gcloud compute instance-templates create INSTANCE_TEMPLATE_NAME \
    --service-account [email protected]
```
Lo sviluppatore [email protected], che dispone del ruolo Instance Admin, crea il modello di istanza del database e autorizza le istanze a essere eseguite come service account my-sa-database.
```
gcloud compute instance-templates create INSTANCE_TEMPLATE_NAME \
    --service-account [email protected]
```
L'amministratore della sicurezza crea una regola firewall che consente il traffico TCP dalle VM con il account di servizio my-sa-webserver di raggiungere la porta 1443 delle VM con il account di servizio my-sa-database.
```
gcloud compute firewall-rules create RULE_NAME \
    --network network_a \
    --allow TCP:1443 \
    --source-service-accounts [email protected] \
    --target-service-accounts [email protected]
```

Risoluzione dei problemi

Messaggi di errore durante la creazione o l'aggiornamento di una regola firewall VPC

Potresti visualizzare uno dei seguenti messaggi di errore:

Should not specify destination range for ingress direction.

Gli intervalli di destinazione non sono parametri validi per le regole firewall in entrata. Si presume che le regole firewall siano regole in entrata, a meno che non venga specificata una direzione di EGRESS. Se crei una regola che non specifica una direzione, viene creata come regola di ingresso, che non consente un intervallo di destinazione. Inoltre, gli intervalli di origine non sono parametri validi per le regole di uscita.
Firewall direction cannot be changed once created.

Non puoi modificare la direzione di una regola firewall esistente. Devi creare una nuova regola con i parametri corretti, quindi eliminare quella precedente.
Firewall traffic control action cannot be changed once created.

Non puoi modificare l'azione di una regola firewall esistente. Devi creare una nuova regola con i parametri corretti, quindi eliminare quella precedente.

Service accounts must be valid RFC 822 email addresses. L'account di servizio specificato nella regola firewall deve essere un indirizzo email formattato in base all'RFC 822.

gcloud compute firewall-rules create bad --allow tcp --source-service-accounts invalid-email

Creating firewall...failed.
ERROR: (gcloud.compute.firewall-rules.create) Could not fetch resource:
– Invalid value for field 'resource.sourceServiceAccounts[0]': 'invalid-email'. Service accounts must be valid RFC 822 email addresses.

ServiceAccounts and Tags are mutually exclusive and can't be combined in the same firewall rule. Non puoi specificare sia gli account di servizio che i tag nella stessa regola.

gcloud compute firewall-rules create bad --allow tcp --source-service-accounts [email protected] --target-tags target

Creating firewall...failed.
 ERROR: (gcloud.compute.firewall-rules.create) Could not fetch resource:
– ServiceAccounts and Tags are mutually exclusive and can't be combined in the same firewall rule.

Errore Risorsa non trovata

Quando elimini una rete VPC o una regola firewall, potresti visualizzare un messaggio simile al seguente: The resource "aet-uscentral1-subnet--1-egrfw" was not found.

Questo errore può impedirti di eliminare una regola firewall implicita o di visualizzarne i dettagli. Una regola firewall in questo stato potrebbe anche impedirti di eliminare una rete VPC.

Per eliminare una regola firewall o una rete bloccata in questo modo, elimina prima il connettore di accesso VPC serverless associato, quindi riprova. Per saperne di più su come eliminare un connettore di accesso VPC serverless, consulta la sezione Eliminare un connettore.

Errore Troppi firewall di grandi dimensioni

Potresti visualizzare il seguente messaggio di errore: Google Compute Engine: The network contains too many large firewalls.

Per mantenere la sicurezza e le prestazioni, esiste un limite alla complessità e al numero di regole firewall che possono essere implementate in una rete VPC. Se visualizzi questo errore, chiedi al team di gestione dell'account di semplificare o consolidare le regole firewall.

Impossibile connettersi all'istanza VM

Se non riesci a connetterti a un'istanza VM, controlla le regole firewall.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.firewalls.list

Ruoli

Amministratore della sicurezza di Compute (roles/compute.securityAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Visualizzatore rete Compute (roles/compute.networkViewer)
Compute Viewer (roles/compute.viewer)

gcloud

Se avvii la connessione da un'altra istanza VM, elenca le regole firewall in uscita per quell'istanza.

gcloud compute firewall-rules list --filter network=NETWORK_NAME \
  --filter EGRESS \
  --sort-by priority \
  --format="table(
      name,
      network,
      direction,
      priority,
      sourceRanges.list():label=SRC_RANGES,
      destinationRanges.list():label=DEST_RANGES,
      allowed[].map().firewall_rule().list():label=ALLOW,
      denied[].map().firewall_rule().list():label=DENY,
      sourceTags.list():label=SRC_TAGS,
      sourceServiceAccounts.list():label=SRC_SVC_ACCT,
      targetTags.list():label=TARGET_TAGS,
      targetServiceAccounts.list():label=TARGET_SVC_ACCT
      )"

Sostituisci NETWORK_NAME con il nome della rete.

Controlla se l'IP di destinazione è negato da regole di uscita. La regola con la priorità più elevata (numero di priorità più basso) ha la precedenza sulle regole con priorità inferiore. Per due regole con la stessa priorità, ha la precedenza la regola di negazione.

Controlla la regola firewall in entrata per la rete che contiene l'istanza VM di destinazione.

gcloud compute firewall-rules list --filter network=NETWORK_NAME \
  --filter INGRESS \
  --sort-by priority \
  --format="table(
      name,
      network,
      direction,
      priority,
      sourceRanges.list():label=SRC_RANGES,
      destinationRanges.list():label=DEST_RANGES,
      allowed[].map().firewall_rule().list():label=ALLOW,
      denied[].map().firewall_rule().list():label=DENY,
      sourceTags.list():label=SRC_TAGS,
      sourceServiceAccounts.list():label=SRC_SVC_ACCT,
      targetTags.list():label=TARGET_TAGS,
      targetServiceAccounts.list():label=TARGET_SVC_ACCT
      )"

Sostituisci NETWORK_NAME con il nome della rete.

Esempio di output. L'output dipende dall'elenco delle regole firewall.

NAME                    NETWORK  DIRECTION  PRIORITY  SRC_RANGES    DEST_RANGES  ALLOW                         DENY  SRC_TAGS  SRC_SVC_ACCT      TARGET_TAGS  TARGET_SVC_ACCT
default-allow-icmp      default  INGRESS    65534     0.0.0.0/0                  icmp
default-allow-internal  default  INGRESS    65534     10.128.0.0/9               tcp:0-65535,udp:0-65535,icmp
default-allow-rdp       default  INGRESS    65534     0.0.0.0/0                  tcp:3389
default-allow-ssh       default  INGRESS    65534     0.0.0.0/0                  tcp:22
firewall-with-sa        default  INGRESS    1000                                 tcp:10000                                     [email protected]               [email protected]

Puoi anche eseguire test di connettività da/verso istanze VM in una rete VPC a un'altra rete VPC o a una rete non Google Cloud per risolvere i problemi se il traffico viene interrotto da regole firewall in entrata o in uscita. Per maggiori informazioni su come eseguire i test di connettività per risolvere i problemi in vari scenari, vedi Esecuzione dei test di connettività.

La mia regola firewall VPC è abilitata o disabilitata?

Per verificare se una regola firewall è abilitata o disabilitata, visualizza i dettagli delle regole firewall.

In Google Cloud console, cerca Attivata o Disattivata nella sezione Applicazione.

Nell'output di gcloud CLI, cerca il campo disabled. Se viene visualizzato disabled:false, la regola è abilitata e viene applicata. Se viene visualizzato disabled: true, la regola è disattivata.

Quale regola viene applicata a un'istanza VM?

Dopo aver creato una regola, puoi verificare se viene applicata correttamente a una determinata istanza. Per ulteriori informazioni, vedi Elenco delle regole firewall per un'interfaccia di rete di un'istanza VM.

Le regole firewall VPC con tag di origine non hanno effetto immediato

La propagazione delle regole firewall in entrata che utilizzano i tag di origine può richiedere del tempo. Per i dettagli, consulta le considerazioni relative ai tag di origine per le regole firewall in entrata.

Passaggi successivi

Per un'introduzione alle regole firewall, vedi Regole firewall VPC.

Utilizzo delle regole firewall VPC Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Crea regole firewall VPC

Autorizzazioni richieste per questa attività

Console

gcloud

Terraform

API

C#

Go

Java

Node.js

PHP

Python

Ruby

Aggiorna le regole firewall VPC

Autorizzazioni richieste per questa attività

Console

gcloud

API

C#

Go

Java

Node.js

PHP

Python

Ruby

Elenca le regole firewall VPC per una rete VPC

Autorizzazioni richieste per questa attività

Console

gcloud

API

C#

Go

Java

Node.js

PHP

Python

Ruby

Elenca le regole firewall VPC per un'interfaccia di rete di un'istanza VM

Autorizzazioni richieste per questa attività

Console

Visualizza i dettagli delle regole firewall VPC

Autorizzazioni richieste per questa attività

Console

gcloud

API

Elimina le regole firewall VPC

Autorizzazioni richieste per questa attività

Console

gcloud

API

C#

Go

Java

Node.js

PHP

Python

Ruby

Monitora le regole firewall VPC

Configurare le regole firewall VPC per i casi d'uso comuni

Consenti connessioni in entrata interne tra le VM

Autorizzazioni richieste per questa attività

gcloud

API

Consenti connessioni SSH in entrata alle VM

Autorizzazioni richieste per questa attività

gcloud

API

Consenti connessioni RDP in entrata alle VM

Autorizzazioni richieste per questa attività

gcloud

API

Consenti connessioni ICMP in entrata alle VM

Autorizzazioni richieste per questa attività

gcloud

API

Altri esempi di configurazione

Esempio 1: nega tutte le connessioni TCP in entrata, tranne quelle alla porta 80 dalla subnet1

Autorizzazioni richieste per questa attività

Utilizzo delle regole firewall VPC