Halaman ini menjelaskan cara mengelola pengaitan endpoint firewall menggunakan Google Cloud konsol dan Google Cloud CLI.
Saat Anda mengaitkan firewall endpoint dengan satu atau beberapa jaringan Virtual Private Cloud (VPC), Anda membuat pengaitan di zona yang sama dengan endpoint firewall. Anda dapat mengaitkan jaringan VPC di zona dengan endpoint firewall tingkat project atau tingkat organisasi.
Saat mengonfigurasi pengaitan endpoint, ikuti persyaratan berikut:
Dalam satu zona, Anda hanya dapat mengaitkan jaringan VPC dengan hanya satu endpoint firewall (tingkat project (Pratinjau) atau tingkat organisasi). Namun, Anda dapat mengaitkan satu jaringan VPC dengan endpoint firewall yang berbeda di beberapa zona.
Anda dapat mengaitkan jaringan VPC dengan endpoint firewall di project terpisah. Hal ini berlaku untuk endpoint tingkat project (Pratinjau) dan tingkat organisasi. Jika endpoint tingkat project berada di project terpisah, project tersebut harus berada di organisasi yang sama dengan jaringan VPC Anda.
Endpoint firewall dengan dukungan jumbo frame hanya dapat menerima paket hingga 8.500 byte. Atau, endpoint firewall tanpa dukungan jumbo frame hanya dapat menerima paket hingga 1.460 byte. Jika Anda memerlukan layanan pemfilteran URL atau layanan deteksi dan pencegahan intrusi, sebaiknya konfigurasikan jaringan VPC terkait untuk menggunakan batas unit transmisi maksimum (MTU) sebesar 8.500 byte dan 1.460 byte. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.
Untuk memeriksa progres operasi yang tercantum di halaman ini,
pastikan peran pengguna Anda memiliki izin berikut
Compute Network User
(roles/compute.networkUser) permissions:
networksecurity.operations.getnetworksecurity.operations.list
Sebelum memulai
Anda memerlukan jaringan VPC dan sebuah subnet.
Anda harus mengaktifkan Compute Engine API di project Google Cloud Anda.
Anda harus mengaktifkan Network Security API di Google Cloud project Anda.
Anda harus mengaktifkan Certificate Authority Service API di project Anda Google Cloud .
Instal gcloud CLI jika Anda ingin menjalankan
gcloudcontoh command line dalam panduan ini.Anda memerlukan endpoint firewall.
Peran
Untuk mendapatkan izin yang diperlukan dalam membuat, melihat, memperbarui, atau menghapus pengaitan endpoint firewall, minta administrator Anda untuk memberi Anda peran IAM yang diperlukan di organisasi dan project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Kuota
Untuk melihat kuota pengaitan endpoint firewall, lihat Kuota dan batas.
Melihat pengaitan endpoint firewall
Untuk melihat detail pengaitan endpoint firewall tingkat organisasi atau pengaitan endpoint firewall tingkat project, gunakan gcloud CLI.
gcloud
Untuk melihat pengaitan endpoint firewall, gunakan gcloud network-security
firewall-endpoint-associations describe
perintah.
Endpoint firewall tingkat organisasi
gcloud network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Endpoint firewall tingkat project
gcloud beta network-security firewall-endpoint-associations \
describe NAME \
--zone ZONE \
[ --project PROJECT_ID ]
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project tempat Google Cloud pengaitan dibuat.
Mencantumkan semua pengaitan endpoint firewall
Untuk mencantumkan semua pengaitan endpoint firewall tingkat organisasi, gunakan Google Cloud konsol atau gcloud CLI. Untuk mencantumkan semua pengaitan endpoint firewall tingkat project, gunakan gcloud CLI.
Konsol
Di Google Cloud konsol, buka halaman Firewall endpoints.
Di menu pemilih project, pilih project Anda Google Cloud .
Di bagian Firewall endpoint associations, tabel akan mencantumkan semua pengaitan endpoint firewall yang dikonfigurasi untuk project ini.
gcloud
Untuk mencantumkan pengaitan endpoint firewall untuk jaringan tertentu, gunakan
gcloud network-security firewall-endpoint-associations list perintah
dengan tanda --filter.
Endpoint firewall tingkat organisasi
gcloud network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Endpoint firewall tingkat project
gcloud beta network-security firewall-endpoint-associations list \
--filter network:NETWORK_NAME \
[ --project PROJECT_ID ]
Ganti kode berikut:
NETWORK_NAME: nama jaringan VPC.PROJECT_ID: ID project tempat pengaitan endpoint firewall dibuat. Google Cloud
Mengedit pengaitan endpoint firewall
Untuk mengedit pengaitan endpoint firewall tingkat organisasi, gunakan Google Cloud konsol atau gcloud CLI. Untuk mengedit pengaitan endpoint firewall tingkat project, gunakan gcloud CLI.
Konsol
Di Google Cloud konsol, buka halaman Firewall endpoints.
Di menu pemilih project, pilih project Anda Google Cloud .
Di bagian Firewall endpoint associations, tabel akan mencantumkan semua pengaitan endpoint firewall yang dikonfigurasi untuk project ini.
Di samping pengaitan endpoint firewall yang ingin Anda perbarui, klik Edit.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Enable association.
Untuk memperbarui kebijakan inspeksi TLS, pilih kebijakan baru dari daftar TLS inspection policy.
Klik Save.
gcloud
Untuk memperbarui pengaitan endpoint firewall, gunakan
gcloud network-security firewall-endpoint-associations update perintah.
Endpoint firewall tingkat organisasi
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Endpoint firewall tingkat project
gcloud beta network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
[ --disabled ] \
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project tempat Google Cloud pengaitan dibuat.TLS_PROJECT_NAME: nama project kebijakan inspeksi TLS. Google CloudREGION_NAME: nama region kebijakan inspeksi TLS.TLS_POLICY_NAME: nama kebijakan inspeksi TLS.
Menghapus pengaitan endpoint firewall
Untuk menghapus pengaitan endpoint firewall tingkat organisasi, gunakan Google Cloud konsol atau gcloud CLI. Untuk menghapus pengaitan endpoint firewall tingkat project, gunakan gcloud CLI.
Saat a Google Cloud project dihapus, pengaitan endpoint firewall terkait akan otomatis dihapus. Penghapusan ini tidak dapat dibatalkan, meskipun project tersebut nantinya dipulihkan.
Namun, proses penghapusan untuk pengaitan ini terkadang dapat gagal.
Jika hal ini terjadi dan project dipulihkan, endpoint firewall terkait akan muncul dalam status ORPHAN dalam project yang dipulihkan. Hal ini menunjukkan link yang rusak antara project dan resource-nya karena penghapusan yang gagal.
Anda dapat melihat pengaitan yang tidak memiliki induk ini di Google Cloud konsol, tetapi Anda tidak dapat mengedit pengaitan ini. Cloud Next Generation Firewall secara berkala menjalankan proses latar belakang yang menghapus resource yang tidak memiliki induk ini.
Konsol
Di Google Cloud konsol, buka halaman Firewall endpoints.
Di menu pemilih project, pilih project Anda Google Cloud .
Di bagian Firewall endpoint associations, tabel akan mencantumkan semua pengaitan endpoint firewall yang dikonfigurasi untuk project ini.
Pilih pengaitan endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus pengaitan endpoint firewall, gunakan gcloud network-security
firewall-endpoint-associations delete
perintah.
Endpoint firewall tingkat organisasi
gcloud network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Endpoint firewall tingkat project
gcloud beta network-security firewall-endpoint-associations \
delete NAME \
--zone ZONE \
--project PROJECT_ID
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project tempat Google Cloud pengaitan dibuat.
Langkah berikutnya
- Membuat pengaitan endpoint firewall
- Menggunakan kebijakan dan aturan firewall hierarkis
- Menggunakan kebijakan dan aturan firewall jaringan global