방화벽 엔드포인트 연결 관리

이 페이지에서는콘솔 및 Google Cloud CLI를 사용하여 방화벽 엔드포인트 연결을 관리하는 방법을 설명합니다. Google Cloud

방화벽 엔드포인트를 하나 이상의 가상 프라이빗 클라우드 (VPC) 네트워크와 연결할 때 방화벽 엔드포인트의 동일한 영역에 연결을 만듭니다. 영역의 VPC 네트워크를 프로젝트 수준 또는 조직 수준 방화벽 엔드포인트와 연결할 수 있습니다.

엔드포인트 연결을 구성할 때는 다음 요구사항을 따르세요.

• 단일 영역에서 VPC 네트워크를 하나의 방화벽 엔드포인트 (프로젝트 수준 (미리보기) 또는 조직 수준)에만 연결할 수 있습니다. 하지만 여러 영역에서 하나의 VPC 네트워크를 여러 방화벽 엔드포인트에 연결할 수 있습니다.

• VPC 네트워크를 별도의 프로젝트에 있는 방화벽 엔드포인트와 연결할 수 있습니다. 이는 프로젝트 수준 (미리보기) 및 조직 수준 엔드포인트 모두에 적용됩니다. 프로젝트 수준 엔드포인트가 별도의 프로젝트에 있는 경우 해당 프로젝트는 VPC 네트워크와 동일한 조직에 있어야 합니다.

점보 프레임 지원이 포함된 방화벽 엔드포인트는 최대 8,500바이트의 패킷만 허용할 수 있습니다. 또는 점보 프레임 지원이 없는 방화벽 엔드포인트는 최대 1,460바이트의 패킷만 허용할 수 있습니다. URL 필터링 서비스 또는 침입 감지 및 방지 서비스가 필요한 경우 연결된 VPC 네트워크가 최대 전송 단위 (MTU) 한도인 8,500바이트 및 1,460바이트를 사용하도록 구성하는 것이 좋습니다. 자세한 내용은 지원되는 패킷 크기를 참조하세요.

이 페이지에 나열된 작업의 진행 상황을 확인하려면 사용자 역할에 다음 Compute 네트워크 사용자 (roles/compute.networkUser) 권한이 있는지 확인하세요.

• networksecurity.operations.get
• networksecurity.operations.list

시작하기 전에

• VPC 네트워크 및 서브넷이 필요합니다.

• 프로젝트에서 Compute Engine API 를 사용 설정해야 합니다 Google Cloud .

• 프로젝트에서 Network Security API를 사용 설정해야 합니다. Google Cloud

• 프로젝트에서 Google Cloud Certificate Authority Service API 를 사용 설정 해야 합니다.

• 이 가이드의 명령줄 예시를 실행하려면 gcloud CLI를 설치합니다.gcloud

• 방화벽 엔드포인트가 필요합니다.

역할

방화벽 엔드포인트 연결을 생성, 보기, 업데이트 또는 삭제하는 데 필요한 권한을 얻으려면 관리자에게 조직과 프로젝트에 필요한 IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

할당량

방화벽 엔드포인트 연결의 할당량을 보려면 할당량 및 한도를 참조하세요.

방화벽 엔드포인트 연결 보기

조직 수준 방화벽 엔드포인트 연결 또는 프로젝트 수준 방화벽 엔드포인트 연결의 세부정보를 보려면 gcloud CLI를 사용하세요.

gcloud network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

gcloud beta network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

모든 방화벽 엔드포인트 연결 나열

모든 조직 수준 방화벽 엔드포인트 연결을 나열하려면 Google Cloud 콘솔 또는 gcloud CLI를 사용하세요. 모든 프로젝트 수준 방화벽 엔드포인트 연결을 나열하려면 gcloud CLI를 사용하세요.

gcloud network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

gcloud beta network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

방화벽 엔드포인트 연결 수정

조직 수준 방화벽 엔드포인트 연결을 수정하려면 Google Cloud 콘솔 또는 gcloud CLI를 사용하세요. 프로젝트 수준 방화벽 엔드포인트 연결을 수정하려면 gcloud CLI를 사용하세요.

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

gcloud beta network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

방화벽 엔드포인트 연결 삭제

조직 수준 방화벽 엔드포인트 연결을 삭제하려면 Google Cloud 콘솔 또는 gcloud CLI를 사용하세요. 프로젝트 수준 방화벽 엔드포인트 연결을 삭제하려면 gcloud CLI를 사용하세요.

프로젝트가 삭제되면 연결된 방화벽 엔드포인트 연결이 자동으로 삭제됩니다. Google Cloud 이러한 삭제는 나중에 프로젝트를 복원하더라도 되돌릴 수 없습니다.

하지만 이러한 연결의 삭제 프로세스는 경우에 따라 실패할 수 있습니다. 삭제가 실패하고 프로젝트가 복원된 경우에는 복원된 프로젝트 내에 연결된 방화벽 엔드포인트가 ORPHAN 상태로 표시됩니다. 이는 삭제 실패로 인해 프로젝트와 리소스 간의 깨진 링크를 나타냅니다.

이렇게 고립된 연결은 Google Cloud 콘솔에서 볼 수 있지만 연결을 수정할 수는 없습니다. Cloud Next Generation Firewall은 이러한 고립된 리소스를 삭제하는 백그라운드 프로세스를 주기적으로 실행합니다.

gcloud network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

gcloud beta network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

다음 단계

• 방화벽 엔드포인트 연결 만들기
• 계층식 방화벽 정책 및 규칙 사용
• 전역 네트워크 방화벽 정책 및 규칙 사용