Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

방화벽 엔드포인트 및 엔드포인트 연결 만들기

이 페이지에서는 콘솔, Google Cloud CLI 또는 Terraform을 사용하여 방화벽 엔드포인트를 구성하고 가상 프라이빗 클라우드 (VPC) 네트워크와 Google Cloud 연결하는 방법을 설명합니다.

영역 수준에서 방화벽 엔드포인트를 만든 후 같은 영역의 VPC 네트워크 하나 이상과 연결합니다. VPC 네트워크와 연결된 방화벽 정책에서 레이어 7 검사를 사용 설정하면 일치하는 트래픽이 투명하게 가로채기되어 방화벽 엔드포인트로 전달됩니다.

점보 프레임 지원 여부와 관계없이 방화벽 엔드포인트를 만들 수 있습니다. 방화벽 엔드포인트에서 지원하는 패킷 크기에 대한 자세한 내용은 지원되는 패킷 크기를참조하세요.

시작하기 전에

방화벽 엔드포인트 및 연결을 구성하기 전에 다음을 완료하세요.

VPC 네트워크와 서브넷이 있는지 확인합니다.
필요한 API를 사용 설정합니다.
- 프로젝트의 Google Cloud Compute Engine API (Compute Engine API)
- 결제에 사용할 프로젝트의 Google Cloud Network Security API
- Certificate Authority Service API 프로젝트 Google Cloud
gcloud CLI를 설치하면 gcloud 명령줄 예시를 실행할 수 있습니다.

역할 및 권한

방화벽 엔드포인트를 만드는 데 필요한 권한을 얻으려면 관리자에게 조직 또는 프로젝트에 필요한 Identity and Access Management (IAM) 역할 을 부여해 달라고 요청하세요. 자세한 내용은 액세스 관리를 참조하세요.

이 페이지에 나열된 작업의 진행 상황을 확인하려면 사용자 계정에 Compute 네트워크 사용자 (roles/compute.networkUser) 역할이 있는지 확인하세요. 이 역할에는 다음 권한이 포함됩니다.

networksecurity.operations.get
networksecurity.operations.list

할당량

방화벽 엔드포인트 및 연결의 할당량을 보려면 할당량 및 한도를 참조하세요.

방화벽 엔드포인트 만들기

특정 영역에 방화벽 엔드포인트를 만듭니다.

조직 수준 엔드포인트

조직 수준에서 방화벽 엔드포인트를 만들 수 있습니다. 이러한 엔드포인트는 조직 수준 보안 프로필 그룹만 지원합니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 조직에 대한 다음 권한 또는 다음 IAM 역할 중 하나를 부여받아야 합니다.

권한

networksecurity.firewallEndpoints.create

역할

Compute 네트워크 관리자 (roles/compute.networkAdmin)
방화벽 엔드포인트 관리자 (roles/networksecurity.firewallEndpointAdmin) 조직 수준에서 부여됨

콘솔

콘솔에서 방화벽 엔드포인트 페이지로 이동합니다. Google Cloud

방화벽 엔드포인트로 이동
프로젝트 선택기 메뉴에서 조직을 선택합니다.
만들기를 클릭합니다.
리전 목록에서 방화벽 엔드포인트를 만들 리전을 선택합니다.
영역 목록에서 방화벽 엔드포인트를 만들 영역을 선택합니다.
이름 필드에 이름을 입력합니다.
방화벽 엔드포인트 이름에 개인 식별 정보 또는 보안 데이터와 같은 민감한 정보를 포함하지 마세요.
결제 프로젝트 목록에서 방화벽 엔드포인트 결제에 사용할 Google Cloud 프로젝트를 선택합니다.
계속 을 클릭합니다.
엔드포인트에서 점보 프레임을 지원하도록 하려면 점보 프레임 지원 사용 설정 체크박스를 선택하고, 그렇지 않으면 이 체크박스를 선택 해제합니다.
계속 을 클릭합니다.
방화벽 엔드포인트 연결을 추가하려면, 엔드포인트 연결 추가를 클릭하고 그 밖의 경우에는 이 단계를 건너뜁니다.
1. 프로젝트 목록에서 방화벽 엔드포인트 연결을 만들 Google Cloud 프로젝트를 선택합니다.
2. 프로젝트에 Compute Engine API 또는 Network Security API가 사용 설정되지 않은 경우 사용 설정을 클릭합니다. Google Cloud
3. 네트워크 목록에서 방화벽 엔드포인트에 연결할 네트워크를 선택합니다.
4. TLS 검사 정책 목록에서 이 연결에 추가할 TLS 검사 정책을 선택합니다.
5. 다른 연결을 추가하려면 엔드포인트 연결 추가를 클릭합니다.
만들기를 클릭합니다.

gcloud

방화벽 엔드포인트를 만들려면 gcloud network-security firewall-endpoints create command를 사용합니다.

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

다음을 바꿉니다.

NAME: 방화벽 엔드포인트 이름입니다.
방화벽 엔드포인트 이름에 개인 식별 정보 또는 보안 데이터와 같은 민감한 정보를 포함하지 마세요.
ORGANIZATION_ID: 엔드포인트가 활성화된 조직입니다.
ZONE: 엔드포인트가 활성화된 영역입니다.
BILLING_PROJECT_ID: 방화벽 엔드포인트 결제에 사용할 프로젝트 ID입니다. Google Cloud

크기가 최대 8,500바이트인 점보 프레임을 지원하는 방화벽 엔드포인트를 만들려면 선택적 --enable-jumbo-frames 플래그를 사용합니다. 점보 프레임 지원 없이 엔드포인트를 만들려면 이 플래그를 건너뜁니다. 방화벽 엔드포인트에서 지원하는 패킷 크기에 대한 자세한 내용은 지원되는 패킷 크기를참조하세요.

방화벽 엔드포인트를 VPC 네트워크에 연결하려면 방화벽 엔드포인트 연결 만들기를 참조하세요.

Terraform

google_network_security_firewall_endpoint Terraform 리소스를 사용합니다.

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

크기가 최대 8,500바이트인 점보 프레임을 지원하는 방화벽 엔드포인트를 만들려면 enable_jumbo_frames 필드를 true로 설정합니다. 점보 프레임을 지원하지 않는 방화벽 엔드포인트를 만들려면 이 필드를 false로 설정합니다. 방화벽 엔드포인트에서 지원하는 패킷 크기에 대한 자세한 내용은 지원되는 패킷 크기를참조하세요.

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요.

프로젝트 수준 엔드포인트

프로젝트 수준에서 방화벽 엔드포인트를 만들 수 있습니다. 이러한 엔드포인트는 조직 수준 및 프로젝트 수준 보안 프로필 그룹을 모두 지원합니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 프로젝트에 대한 다음 권한 또는 다음 IAM 역할 중 하나를 부여받아야 합니다.

권한

networksecurity.firewallEndpoints.create

역할

Compute 네트워크 관리자 (roles/compute.networkAdmin)
프로젝트 수준 또는 조직 수준에서 부여된 방화벽 엔드포인트 관리자 (roles/networksecurity.firewallEndpointAdmin)

gcloud

방화벽 엔드포인트를 만들려면 gcloud beta network-security firewall-endpoints create command를 사용합니다.

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

다음을 바꿉니다.

NAME: 방화벽 엔드포인트 이름입니다.
방화벽 엔드포인트 이름에 개인 식별 정보 또는 보안 데이터와 같은 민감한 정보를 포함하지 마세요.
PROJECT_ID: 엔드포인트가 활성화된 프로젝트입니다.
ZONE: 엔드포인트가 활성화된 영역입니다.

방화벽 엔드포인트를 VPC 네트워크에 연결하려면 방화벽 엔드포인트 연결 만들기를 참조하세요.

방화벽 엔드포인트 연결 만들기

방화벽 엔드포인트 연결은 방화벽 엔드포인트를 특정 영역의 VPC 네트워크에 연결합니다. 이 연결은 해당 영역에서 연결된 네트워크의 가로채기 규칙과 일치하는 트래픽이 방화벽 엔드포인트에 의해 검사되도록 합니다.

연결을 만들기 전에 방화벽 엔드포인트 가 있는지 확인합니다.

연결 요구사항

엔드포인트 연결을 구성할 때는 다음 요구사항을 따르세요.

영역 제약조건: 방화벽 엔드포인트와 동일한 영역에 연결을 만들어야 합니다. 효과적인 트래픽 검사를 위해 컴퓨팅 인스턴스가 배포된 영역에 연결을 만듭니다.
영역당 하나의 엔드포인트: 단일 영역에서 VPC 네트워크를 방화벽 엔드포인트 하나 (프로젝트 수준 (미리보기) 또는 조직 수준)와만 연결할 수 있습니다. 하지만 단일 VPC 네트워크를 여러 영역의 서로 다른 방화벽 엔드포인트와 연결할 수 있습니다.
교차 프로젝트 연결: VPC 네트워크를 별도의 프로젝트에 있는 방화벽 엔드포인트와 연결할 수 있습니다.
- 프로젝트 수준 엔드포인트 (미리보기)를 사용하는 경우 엔드포인트의 프로젝트 는 VPC 네트워크와 동일한 조직에 있어야 합니다.
리소스 매핑: 연결은 프로젝트 수준 리소스입니다. 연결이 조직 수준 방화벽 엔드포인트를 가리키더라도 컴퓨팅 인스턴스가 배포된 특정 프로젝트 내에서 연결을 만듭니다.

점보 프레임 지원이 있는 방화벽 엔드포인트는 최대 8,500바이트의 패킷만 허용할 수 있습니다. 또는 점보 프레임 지원이 없는 방화벽 엔드포인트는 최대 1,460바이트의 패킷만 허용할 수 있습니다. URL 필터링 서비스 또는 침입 감지 및 방지 서비스가 필요한 경우 연결된 VPC 네트워크가 최대 전송 단위 (MTU) 한도인 8,500바이트와 1,460바이트를 사용하도록 구성하는 것이 좋습니다. 자세한 내용은 지원되는 패킷 크기를 참조하세요.

이 태스크에 필요한 권한

이 태스크를 수행하려면 프로젝트에 대한 다음 권한 또는 다음 IAM 역할 중 하나를 부여받아야 합니다.

권한

networksecurity.firewallEndpointAssociations.create
networksecurity.firewallEndpoints.use 방화벽 엔드포인트가 생성된 조직 또는 프로젝트에 대한

역할

Compute 네트워크 관리자 (roles/compute.networkAdmin)
방화벽 엔드포인트 관리자 (roles/networksecurity.firewallEndpointAdmin) 조직 수준 또는 프로젝트 수준에서 부여됨

콘솔

콘솔에서 방화벽 엔드포인트 페이지로 이동합니다. Google Cloud

방화벽 엔드포인트로 이동
프로젝트 선택기 메뉴에서프로젝트를 선택합니다. Google Cloud
엔드포인트 연결 만들기 를 클릭합니다.
리전 목록에서 방화벽 엔드포인트 연결을 만들 리전을 선택합니다.
영역 목록에서 방화벽 엔드포인트 연결을 만들 영역을 선택합니다.
방화벽 엔드포인트 목록에서 연결에 추가할 방화벽 엔드포인트를 선택합니다.
네트워크 목록에서 연결에 추가할 네트워크를 선택합니다.
TLS 검사 정책 목록에서 이 연결에 추가할 TLS 검사 정책을 선택합니다.
만들기 를 클릭합니다.

참고: VPC 네트워크 페이지의 VPC 네트워크 페이지 탭에서 방화벽 엔드포인트 연결을 만들 수도 있습니다.

gcloud

방화벽 엔드포인트 연결을 만들려면 gcloud network-security firewall-endpoint-associations create 명령어를 사용합니다.

조직 수준 방화벽 엔드포인트

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

프로젝트 수준 방화벽 엔드포인트

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

다음을 바꿉니다.

NAME: 방화벽 엔드포인트 연결 이름입니다.
방화벽 엔드포인트 연결 이름에 개인 식별 정보 또는 보안 데이터와 같은 민감한 정보를 포함하지 마세요.
ORGANIZATION_ID: 조직 수준 방화벽 엔드포인트가 생성된 조직 식별자입니다.
ENDPOINT_PROJECT_ID: 프로젝트 수준 방화벽 엔드포인트가 생성된 프로젝트 ID입니다. Google Cloud
ZONE: 방화벽 엔드포인트 영역입니다.
FIREWALL_ENDPOINT_NAME: 방화벽 엔드포인트 이름입니다.
PROJECT_NAME: 네트워크의 프로젝트 이름입니다. Google Cloud
NETWORK_NAME: 네트워크의 이름입니다.
PROJECT_ID: 연결이 생성되는 Google Cloud 프로젝트 ID입니다. 트래픽을 가로채려는 프로젝트여야 합니다.
TLS_PROJECT_NAME: TLS 검사 정책의 프로젝트 이름입니다. Google Cloud
REGION_NAME: TLS 검사 정책의 리전 이름입니다.
TLS_POLICY_NAME: TLS 검사 정책 이름입니다.

이 정책은 지정된 네트워크에서 암호화된 트래픽의 TLS 검사에 사용됩니다. 이는 선택적 인수입니다.

방화벽 엔드포인트 및 엔드포인트 연결 만들기 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

시작하기 전에

역할 및 권한

할당량

방화벽 엔드포인트 만들기

조직 수준 엔드포인트

이 태스크에 필요한 권한

콘솔

gcloud

Terraform

프로젝트 수준 엔드포인트

이 태스크에 필요한 권한

gcloud

방화벽 엔드포인트 연결 만들기

연결 요구사항

이 태스크에 필요한 권한

콘솔

gcloud

다음 단계

방화벽 엔드포인트 및 엔드포인트 연결 만들기