Halaman ini menjelaskan cara mengonfigurasi dan mengelola endpoint firewall serta mengaitkannya dengan jaringan Virtual Private Cloud (VPC) menggunakan konsolGoogle Cloud dan Google Cloud CLI.
Anda membuat endpoint firewall di tingkat zona, lalu mengaitkannya dengan satu atau beberapa jaringan VPC di zona yang sama. Jika Anda telah mengaktifkan pemeriksaan Layer 7 di kebijakan firewall yang terkait dengan jaringan VPC Anda, traffic yang cocok akan dicegat secara transparan dan diteruskan ke endpoint firewall.
Anda dapat membuat endpoint firewall dengan atau tanpa dukungan frame jumbo. Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.
Sebelum memulai
Anda memerlukan jaringan VPC dan subnet.
Anda harus mengaktifkan Compute Engine API di project Google Cloud Anda.
Anda harus mengaktifkan Network Security API di Google Cloud project yang ingin Anda gunakan untuk penagihan.
Anda harus mengaktifkan Certificate Authority Service API di project Google Cloud Anda.
Instal gcloud CLI jika Anda ingin menjalankan contoh command line
gclouddalam panduan ini.
Peran
Untuk mendapatkan izin yang diperlukan untuk membuat, melihat, memperbarui, atau menghapus endpoint firewall, minta administrator Anda untuk memberi Anda peran IAM yang diperlukan di organisasi Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Kuota
Untuk melihat kuota endpoint dan asosiasi firewall, lihat Kuota dan batas.
Membuat endpoint firewall
Buat endpoint firewall di zona tertentu.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Klik Buat.
Di daftar Region, pilih region tempat Anda ingin membuat endpoint firewall.
Di daftar Zone, pilih zona tempat Anda ingin membuat endpoint firewall.
Masukkan nama di kolom Name.
Di daftar Billing project, pilih Google Cloud project yang ingin Anda gunakan untuk menagih endpoint firewall.
Klik Lanjutkan.
Jika Anda ingin endpoint mendukung frame jumbo, centang kotak Aktifkan dukungan frame jumbo; jika tidak, hapus centang pada kotak ini.
Klik Lanjutkan.
Jika Anda ingin menambahkan asosiasi endpoint firewall, klik Tambahkan asosiasi endpoint, atau lewati langkah ini.
- Di daftar Project, pilih Google Cloud project tempat Anda ingin membuat asosiasi endpoint firewall.
- Jika Compute Engine API atau Network Security API tidak diaktifkan untuk project, klik Aktifkan. Google Cloud
- Di daftar Network, pilih jaringan yang ingin Anda kaitkan dengan endpoint firewall.
- Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke asosiasi ini.
- Untuk menambahkan asosiasi lain, klik Tambahkan asosiasi endpoint.
Klik Buat.
gcloud
Untuk membuat endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints create:
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.BILLING_PROJECT_ID: ID project yang akan digunakan untuk penagihan endpoint firewall. Google Cloud
Untuk membuat endpoint firewall yang mendukung frame jumbo hingga berukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati tanda ini untuk membuat endpoint tanpa dukungan frame jumbo. Untuk
informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mengaitkan endpoint firewall ke jaringan VPC, lihat Membuat asosiasi endpoint firewall.
Terraform
Gunakan resource Terraform google_network_security_firewall_endpoint.
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
Untuk membuat endpoint firewall yang mendukung frame jumbo hingga ukuran 8.500 byte, tetapkan kolom enable_jumbo_frames ke True. Untuk membuat endpoint firewall yang tidak mendukung frame jumbo, tetapkan kolom ini ke False. Untuk
informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat
Ukuran paket yang didukung.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Melihat endpoint firewall
Anda dapat melihat detail endpoint firewall tertentu.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi di organisasi.
Klik nama endpoint firewall untuk melihat detailnya.
gcloud
Untuk melihat detail endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints describe:
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Mencantumkan endpoint firewall
Anda dapat mencantumkan semua endpoint firewall dalam organisasi.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi di organisasi.
gcloud
Untuk mencantumkan semua endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints list:
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ganti kode berikut:
ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan. Untuk mencantumkan endpoint di semua zona, gunakan-.BILLING_PROJECT_ID: ID projectGoogle Cloud opsional yang akan ditagih kuotanya untuk operasi tersebut.
Mengedit endpoint firewall
Anda dapat memperbarui project penagihan endpoint firewall dalam organisasi.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi di organisasi.
Klik nama endpoint firewall untuk melihat detailnya.
Klik Edit.
Di daftar Billing project, pilih Google Cloud project yang ingin Anda gunakan untuk menagih endpoint firewall.
Klik Simpan.
gcloud
Untuk mengedit endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints edit:
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.BILLING_PROJECT_ID: Google Cloud project ID yang ingin Anda kaitkan dengan endpoint firewall ini untuk penagihan.
Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.
Menghapus endpoint firewall
Anda dapat menghapus endpoint firewall dengan menentukan nama, zona, dan organisasi endpoint tersebut.
Konsol
Di konsol Google Cloud , buka halaman Firewall endpoints.
Pilih endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus endpoint firewall, gunakan perintah gcloud network-security
firewall-endpoints delete:
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
Ganti kode berikut:
NAME: nama endpoint firewall.ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.ZONE: zona tempat endpoint diaktifkan.
Langkah berikutnya
- Membuat dan mengelola pengaitan endpoint firewall
- Menggunakan kebijakan dan aturan firewall hierarkis
- Menggunakan kebijakan dan aturan firewall jaringan global