Halaman ini menjelaskan cara mengonfigurasi endpoint firewall dan mengaitkannya dengan jaringan Virtual Private Cloud (VPC) menggunakan Google Cloud konsol dan Google Cloud CLI.
Anda membuat endpoint firewall di tingkat zona, lalu mengaitkannya dengan satu atau beberapa jaringan VPC di zona yang sama. Jika Anda telah mengaktifkan pemeriksaan Lapisan 7 dalam kebijakan firewall yang terkait dengan jaringan VPC, traffic yang cocok akan dicegat secara transparan dan diteruskan ke endpoint firewall.
Anda dapat membuat endpoint firewall dengan atau tanpa dukungan jumbo frame. Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.
Untuk memeriksa progres operasi yang tercantum di halaman ini,
pastikan peran pengguna Anda memiliki izin berikut:
Pengguna Jaringan Compute
(roles/compute.networkUser)
networksecurity.operations.getnetworksecurity.operations.list
Sebelum memulai
Anda memerlukan jaringan VPC dan sebuah subnet.
Anda harus mengaktifkan Compute Engine API di project Google Cloud Anda.
Anda harus mengaktifkan Network Security API di Google Cloud project yang ingin Anda gunakan untuk penagihan.
Anda harus mengaktifkan Certificate Authority Service API di project Anda Google Cloud .
Instal gcloud CLI jika Anda ingin menjalankan
gcloudcontoh command line dalam panduan ini.
Peran
Untuk mendapatkan izin yang diperlukan dalam membuat endpoint firewall, minta administrator Anda untuk memberi Anda peran IAM yang diperlukan di organisasi atau project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Kuota
Untuk melihat kuota endpoint dan asosiasi firewall, lihat Kuota dan batas.
Membuat endpoint firewall
Buat endpoint firewall di zona tertentu.
Endpoint tingkat organisasi
Anda dapat membuat endpoint firewall di tingkat organisasi. Endpoint ini hanya mendukung grup profil keamanan tingkat organisasi.
Konsol
Di Google Cloud konsol, buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Klik Create.
Di daftar Region, pilih region tempat Anda ingin membuat endpoint firewall.
Di daftar Zone, pilih zona tempat Anda ingin membuat endpoint firewall.
Masukkan nama di kolom Name.
Di daftar Billing project, pilih Google Cloud project yang ingin Anda gunakan untuk menagih endpoint firewall.
Klik Continue.
Jika Anda ingin endpoint mendukung jumbo frame, centang kotak Enable jumbo frames support ; jika tidak, hapus centang kotak ini.
Klik Continue.
Jika Anda ingin menambahkan asosiasi endpoint firewall, klik Add endpoint association, jika tidak, lewati langkah ini.
- Di daftar Project, pilih Google Cloud project tempat Anda ingin membuat asosiasi endpoint firewall.
- Jika Compute Engine API atau Network Security API tidak diaktifkan untuk the Google Cloud project, klik Enable.
- Di daftar Network, pilih jaringan yang ingin Anda kaitkan ke endpoint firewall.
- Di daftar TLS inspection policy, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke asosiasi ini.
- Untuk menambahkan asosiasi lain, klik Add endpoint association.
Klik Create.
gcloud
Untuk membuat endpoint firewall, gunakan gcloud network-security
firewall-endpoints create
perintah:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.BILLING_PROJECT_ID: a Google Cloud project ID yang akan digunakan untuk penagihan endpoint firewall.
Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati flag ini untuk membuat endpoint tanpa dukungan jumbo frame. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mengaitkan endpoint firewall ke jaringan VPC, lihat Membuat asosiasi endpoint firewall.
Terraform
Gunakan google_network_security_firewall_endpoint resource Terraform.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, tetapkan kolom enable_jumbo_frames ke True. Untuk membuat endpoint firewall yang tidak mendukung jumbo frame, tetapkan kolom ini ke False. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Endpoint tingkat project
Anda dapat membuat endpoint firewall di tingkat project. Endpoint ini mendukung grup profil keamanan tingkat organisasi dan tingkat project.
gcloud
Untuk membuat endpoint firewall, gunakan gcloud beta network-security
firewall-endpoints create
perintah:
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
Ganti kode berikut:
NAME: nama endpoint firewall.PROJECT_ID: project tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati flag ini untuk membuat endpoint tanpa dukungan jumbo frame. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mengaitkan endpoint firewall ke jaringan VPC, lihat Membuat asosiasi endpoint firewall.
Langkah berikutnya
- Membuat asosiasi endpoint firewall
- Menggunakan kebijakan dan aturan firewall hierarkis
- Menggunakan kebijakan dan aturan firewall jaringan global