Halaman ini menjelaskan cara mengonfigurasi endpoint firewall dan mengaitkannya dengan jaringan Virtual Private Cloud (VPC) menggunakan Google Cloud konsol, Google Cloud CLI, atau Terraform.
Anda membuat endpoint firewall di tingkat zona, lalu mengaitkannya dengan satu atau beberapa jaringan VPC di zona yang sama. Jika pemeriksaan Lapisan 7 diaktifkan dalam kebijakan firewall yang terkait dengan jaringan VPC Anda, traffic yang cocok akan dicegat dan diteruskan secara transparan ke endpoint firewall.
Anda dapat membuat endpoint firewall dengan atau tanpa dukungan jumbo frame. Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.
Sebelum memulai
Sebelum mengonfigurasi endpoint dan pengaitan firewall, selesaikan hal-hal berikut:
- Pastikan Anda memiliki jaringan VPC dan subnet.
- Aktifkan API yang diperlukan:
- Compute Engine API (Compute Engine API) di projectAnda. Google Cloud
- Network Security API di Google Cloud project yang ingin Anda gunakan untuk penagihan.
- Certificate Authority Service API di project Google Cloud Anda.
- Instal gcloud CLI jika Anda ingin menjalankan
gcloudcontoh command line.
Peran dan izin
Untuk mendapatkan izin yang diperlukan guna membuat endpoint firewall, minta administrator untuk memberi Anda peran yang diperlukan Identity and Access Management (IAM) di organisasi atau project Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola akses.
Untuk memeriksa progres operasi yang tercantum di halaman ini, pastikan bahwa
akun pengguna Anda memiliki
Pengguna Jaringan Compute
(roles/compute.networkUser) peran, yang mencakup izin berikut:
networksecurity.operations.getnetworksecurity.operations.list
Kuota
Untuk melihat kuota endpoint dan pengaitan firewall, lihat Kuota dan batas.
Membuat endpoint firewall
Buat endpoint firewall di zona tertentu.
Endpoint tingkat organisasi
Anda dapat membuat endpoint firewall di tingkat organisasi. Endpoint ini hanya mendukung grup profil keamanan tingkat organisasi.
Konsol
Di Google Cloud konsol, buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Klik Create.
Di daftar Region, pilih region tempat Anda ingin membuat endpoint firewall.
Di daftar Zone, pilih zona tempat Anda ingin membuat endpoint firewall.
Masukkan nama di kolom Name.
Di daftar Billing project, pilih Google Cloud project yang ingin Anda gunakan untuk menagih endpoint firewall.
Klik Continue.
Jika Anda ingin endpoint mendukung jumbo frame, centang kotak Enable jumbo frames support ; jika tidak, hapus centang kotak ini.
Klik Continue.
Jika Anda ingin menambahkan pengaitan endpoint firewall, klik Add endpoint association, jika tidak, lewati langkah ini.
- Di daftar Project, pilih Google Cloud project tempat Anda ingin membuat pengaitan endpoint firewall.
- Jika Compute Engine API atau Network Security API tidak diaktifkan untuk the Google Cloud project, klik Enable.
- Di daftar Network, pilih jaringan yang ingin Anda kaitkan ke endpoint firewall.
- Di daftar TLS inspection policy, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
- Untuk menambahkan pengaitan lain, klik Add endpoint association.
Klik Create.
gcloud
Untuk membuat endpoint firewall, gunakan gcloud network-security
firewall-endpoints create
perintah:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.BILLING_PROJECT_ID: project ID yang akan digunakan untuk penagihan endpoint firewall. Google Cloud
Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati flag ini untuk membuat endpoint tanpa dukungan jumbo frame. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mengaitkan endpoint firewall ke jaringan VPC, lihat Membuat pengaitan endpoint firewall.
Terraform
Gunakan google_network_security_firewall_endpoint resource Terraform.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, tetapkan kolom enable_jumbo_frames ke true. Untuk membuat endpoint firewall yang tidak mendukung jumbo frame, tetapkan kolom ini ke false. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Endpoint tingkat project
Anda dapat membuat endpoint firewall di tingkat project. Endpoint ini mendukung grup profil keamanan tingkat organisasi dan tingkat project.
gcloud
Untuk membuat endpoint firewall, gunakan gcloud beta network-security
firewall-endpoints create
perintah:
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
Ganti kode berikut:
NAME: nama endpoint firewall.PROJECT_ID: project tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati flag ini untuk membuat endpoint tanpa dukungan jumbo frame. Untuk
mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mengaitkan endpoint firewall ke jaringan VPC, lihat Membuat pengaitan endpoint firewall.
Membuat pengaitan endpoint firewall
Pengaitan endpoint firewall menghubungkan endpoint firewall ke jaringan VPC di zona tertentu. Pengaitan ini memastikan bahwa traffic yang cocok dengan aturan pencegatan untuk jaringan terkait di zona tersebut diperiksa oleh endpoint firewall.
Pastikan Anda memiliki endpoint firewall sebelum membuat pengaitan.
Persyaratan pengaitan
Saat mengonfigurasi pengaitan endpoint, ikuti persyaratan berikut:
- Batasan zona: Anda harus membuat pengaitan di zona yang sama dengan endpoint firewall. Untuk pemeriksaan traffic yang efektif, buat pengaitan di zona tempat instance komputasi Anda di-deploy.
- Satu endpoint per zona: Dalam satu zona, Anda hanya dapat mengaitkan jaringan VPC dengan satu endpoint firewall (baik tingkat project (Pratinjau) maupun tingkat organisasi). Namun, Anda dapat mengaitkan satu jaringan VPC dengan endpoint firewall yang berbeda di beberapa zona yang berbeda.
- Pengaitan lintas project: Anda dapat mengaitkan jaringan VPC
dengan endpoint firewall di project terpisah.
- Jika Anda menggunakan endpoint tingkat project (Pratinjau), project endpoint harus berada di organisasi yang sama dengan jaringan VPC.
- Pemetaan resource: Pengaitan adalah resource tingkat project. Anda membuat pengaitan dalam project tertentu tempat instance komputasi Anda di-deploy, meskipun pengaitan tersebut mengarah ke endpoint firewall tingkat organisasi.
Endpoint firewall dengan dukungan jumbo frame hanya dapat menerima paket hingga 8.500 byte. Atau, endpoint firewall tanpa dukungan jumbo frame hanya dapat menerima paket hingga 1.460 byte. Jika Anda memerlukan layanan pemfilteran URL atau layanan deteksi dan pencegahan intrusi, sebaiknya konfigurasikan jaringan VPC terkait untuk menggunakan batas unit transmisi maksimum (MTU) sebesar 8.500 byte dan 1.460 byte. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.
Konsol
Di Google Cloud konsol, buka halaman Firewall endpoints.
Di menu pemilih project, pilih Google Cloud project Anda.
Klik Create endpoint association.
Di daftar Region, pilih region tempat Anda ingin membuat pengaitan endpoint firewall.
Di daftar Zone, pilih zona tempat Anda ingin membuat pengaitan endpoint firewall.
Di daftar Firewall endpoint, pilih endpoint firewall yang ingin Anda tambahkan ke pengaitan.
Di daftar Network, pilih jaringan yang ingin Anda tambahkan ke pengaitan.
Di daftar TLS inspection policy, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
Klik Create.
gcloud
Untuk membuat pengaitan endpoint firewall, gunakan
gcloud network-security firewall-endpoint-associations create perintah.
Endpoint firewall tingkat organisasi
gcloud network-security firewall-endpoint-associations \
create NAME \
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Endpoint firewall tingkat project
gcloud beta network-security firewall-endpoint-associations \
create NAME \
--endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
--zone ZONE \
--project PROJECT_ID \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ORGANIZATION_ID: ID organisasi tempat endpoint firewall tingkat organisasi dibuat.ENDPOINT_PROJECT_ID: project ID tempat endpoint firewall tingkat project dibuat. Google CloudZONE: zona endpoint firewall.FIREWALL_ENDPOINT_NAME: nama endpoint firewall.PROJECT_NAME: nama Google Cloud project jaringan.NETWORK_NAME: nama jaringan.PROJECT_ID: Google Cloud project ID tempat pengaitan dibuat. Project ini harus menjadi project tempat Anda ingin mencegat traffic.TLS_PROJECT_NAME: nama project kebijakan pemeriksaan TLS. Google CloudREGION_NAME: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS traffic terenkripsi di jaringan yang ditentukan. Argumen ini bersifat opsional.
Langkah berikutnya
- Menggunakan kebijakan dan aturan firewall hierarkis
- Menggunakan kebijakan dan aturan firewall jaringan global