Halaman ini menjelaskan cara mengonfigurasi dan mengelola endpoint firewall serta mengaitkannya dengan jaringan Virtual Private Cloud (VPC) menggunakan konsolGoogle Cloud dan Google Cloud CLI.
Anda membuat endpoint firewall di tingkat zona, lalu mengaitkannya dengan satu atau beberapa jaringan VPC di zona yang sama. Jika Anda telah mengaktifkan inspeksi Layer 7 di kebijakan firewall yang terkait dengan jaringan VPC Anda, traffic yang cocok akan dicegat secara transparan dan diteruskan ke endpoint firewall.
Anda dapat membuat endpoint firewall dengan atau tanpa dukungan frame jumbo. Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.
Sebelum memulai
Anda memerlukan jaringan VPC dan subnet.
Anda harus mengaktifkan Compute Engine API di project Google Cloud Anda.
Anda harus mengaktifkan Network Security API di Google Cloud project yang ingin Anda gunakan untuk penagihan.
Anda harus mengaktifkan Certificate Authority Service API di project Google Cloud Anda.
Instal gcloud CLI jika Anda ingin menjalankan contoh command line
gclouddalam panduan ini.
Peran
Untuk mendapatkan izin yang diperlukan untuk membuat, melihat, memperbarui, atau menghapus endpoint firewall, minta administrator untuk memberi Anda peran IAM yang diperlukan di organisasi atau project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Kuota
Untuk melihat kuota endpoint dan asosiasi firewall, lihat Kuota dan batas.
Membuat endpoint firewall
Buat endpoint firewall di zona tertentu.
Endpoint tingkat organisasi
Anda dapat membuat endpoint firewall di tingkat organisasi. Endpoint ini hanya mendukung grup profil keamanan tingkat organisasi.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Klik Create.
Di daftar Region, pilih region tempat Anda ingin membuat endpoint firewall.
Di daftar Zone, pilih zona tempat Anda ingin membuat endpoint firewall.
Masukkan nama di kolom Name.
Di daftar Billing project, pilih Google Cloud project yang ingin Anda gunakan untuk menagih endpoint firewall.
Klik Lanjutkan.
Jika Anda ingin endpoint mendukung frame jumbo, centang kotak Aktifkan dukungan frame jumbo; jika tidak, hapus centang pada kotak ini.
Klik Lanjutkan.
Jika Anda ingin menambahkan asosiasi endpoint firewall, klik Tambahkan asosiasi endpoint, atau lewati langkah ini.
- Di daftar Project, pilih Google Cloud project tempat Anda ingin membuat asosiasi endpoint firewall.
- Jika Compute Engine API atau Network Security API tidak diaktifkan untuk project, klik Aktifkan. Google Cloud
- Di daftar Network, pilih jaringan yang ingin Anda kaitkan dengan endpoint firewall.
- Di daftar Kebijakan inspeksi TLS, pilih kebijakan inspeksi TLS yang ingin Anda tambahkan ke asosiasi ini.
- Untuk menambahkan asosiasi lain, klik Tambahkan asosiasi endpoint.
Klik Create.
gcloud
Untuk membuat endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints create:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.BILLING_PROJECT_ID: ID project yang akan digunakan untuk penagihan endpoint firewall. Google Cloud
Untuk membuat endpoint firewall yang mendukung frame jumbo hingga berukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati tanda ini untuk membuat endpoint tanpa dukungan frame jumbo. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mengaitkan endpoint firewall ke jaringan VPC, lihat Membuat asosiasi endpoint firewall.
Terraform
Gunakan resource Terraform google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Untuk membuat endpoint firewall yang mendukung frame jumbo hingga ukuran 8.500 byte, tetapkan kolom enable_jumbo_frames ke True. Untuk membuat endpoint firewall yang tidak mendukung frame jumbo, tetapkan kolom ini ke False. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Endpoint tingkat project
Anda dapat membuat endpoint firewall di tingkat project. Endpoint ini mendukung grup profil keamanan tingkat organisasi dan tingkat project.
gcloud
Untuk membuat endpoint firewall, gunakan perintah gcloud beta network-security
firewall-endpoints create:
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
Ganti kode berikut:
NAME: nama endpoint firewall.PROJECT_ID: project tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Untuk membuat endpoint firewall yang mendukung frame jumbo hingga berukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati tanda ini untuk membuat endpoint tanpa dukungan frame jumbo. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mengaitkan endpoint firewall ke jaringan VPC, lihat Membuat asosiasi endpoint firewall.
Melihat endpoint firewall
Anda dapat melihat detail endpoint firewall tertentu.
Endpoint tingkat organisasi
Untuk melihat detail endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi tempat endpoint diaktifkan.
Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi di organisasi.
Klik nama endpoint firewall untuk melihat detailnya.
gcloud
Untuk melihat detail endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints describe:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Endpoint tingkat project
Untuk melihat detail endpoint firewall tingkat project, gunakan gcloud CLI.
gcloud
Untuk melihat detail endpoint firewall, gunakan perintah gcloud beta network-security
firewall-endpoints describe:
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
Ganti kode berikut:
NAME: nama endpoint firewall.PROJECT_ID: project tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Mencantumkan endpoint firewall
Anda dapat mencantumkan semua endpoint firewall dalam organisasi atau project.
Endpoint tingkat organisasi
Untuk mencantumkan semua endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi tempat endpoint diaktifkan.
Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi.
gcloud
Untuk mencantumkan semua endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints list:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ganti kode berikut:
ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan. Untuk mencantumkan endpoint di semua zona, gunakan-.BILLING_PROJECT_ID: ID projectGoogle Cloud opsional yang akan ditagih kuotanya untuk operasi tersebut. Hal ini hanya diperlukan untuk endpoint firewall tingkat organisasi.
Endpoint tingkat project
Untuk mencantumkan semua endpoint firewall tingkat project, gunakan gcloud CLI.
gcloud
Untuk mencantumkan semua endpoint firewall, gunakan perintah gcloud beta network-security
firewall-endpoints list:
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
Ganti kode berikut:
PROJECT_ID: project tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan. Untuk mencantumkan endpoint di semua zona, gunakan-.
Memperbarui endpoint firewall
Anda dapat mengelola label atau memperbarui deskripsi untuk endpoint firewall.
Endpoint tingkat organisasi
Untuk memperbarui endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI. Anda juga dapat memperbarui project penagihan endpoint firewall dalam organisasi.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi tempat endpoint diaktifkan.
Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi.
Klik nama endpoint firewall untuk melihat detailnya.
Klik Edit.
Di daftar Billing project, pilih Google Cloud project yang ingin Anda gunakan untuk menagih endpoint firewall.
Klik Simpan.
gcloud
Untuk memperbarui endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints update:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.BILLING_PROJECT_ID: Google Cloud Project ID yang ingin Anda kaitkan dengan endpoint firewall ini untuk penagihan. Hal ini hanya diperlukan untuk endpoint firewall tingkat organisasi.
Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.
Endpoint tingkat project
Untuk mengupdate endpoint firewall tingkat project, gunakan gcloud CLI. Anda dapat mengelola label atau memperbarui deskripsi untuk endpoint firewall.
gcloud
Untuk memperbarui endpoint firewall, gunakan perintah gcloud beta network-security
firewall-endpoints update:
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
Ganti kode berikut:
NAME: nama endpoint firewall.PROJECT_ID: project tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.
Menghapus endpoint firewall
Anda dapat menghapus endpoint firewall dengan menentukan nama, zona, dan organisasi atau project-nya.
Endpoint tingkat organisasi
Untuk menghapus endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi tempat endpoint diaktifkan.
Pilih endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints delete:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Endpoint tingkat project
Untuk menghapus endpoint firewall tingkat project, gunakan gcloud CLI.
gcloud
Untuk menghapus endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints delete:
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
Ganti kode berikut:
NAME: nama endpoint firewall.PROJECT_ID: project tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Langkah berikutnya
- Membuat dan mengelola pengaitan endpoint firewall
- Menggunakan kebijakan dan aturan firewall hierarkis
- Menggunakan kebijakan dan aturan firewall jaringan global