Mengelola endpoint firewall dan pengaitan endpoint

Halaman ini menjelaskan cara mengelola endpoint firewall dan asosiasinya dengan jaringan Virtual Private Cloud (VPC) menggunakan konsolGoogle Cloud dan Google Cloud CLI.

Untuk mengetahui informasi selengkapnya tentang endpoint firewall, lihat Ringkasan endpoint firewall. Untuk membuat endpoint firewall, lihat Membuat endpoint firewall.

Sebelum memulai

Sebelum Anda mengelola endpoint dan asosiasi firewall, selesaikan langkah-langkah berikut:

  1. Pastikan Anda memiliki jaringan VPC dan subnet.
  2. Aktifkan API yang diperlukan:
  3. Instal gcloud CLI jika Anda ingin menjalankan contoh command line gcloud.

Peran dan izin

Untuk mendapatkan izin yang Anda perlukan untuk melihat, mengupdate, atau menghapus endpoint dan asosiasi firewall, minta administrator untuk memberi Anda peran Identity and Access Management (IAM) yang diperlukan di organisasi atau project Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola akses.

Untuk memeriksa progres operasi yang tercantum di halaman ini, pastikan akun pengguna Anda memiliki peran Compute Network User (roles/compute.networkUser), yang mencakup izin berikut:

  • networksecurity.operations.get
  • networksecurity.operations.list

Kuota

Untuk melihat kuota endpoint dan asosiasi firewall, lihat Kuota dan batas.

Mengelola endpoint tingkat organisasi

Di bagian ini, pelajari cara mengelola endpoint firewall yang ditentukan di tingkat organisasi.

Melihat endpoint tingkat organisasi

Untuk melihat detail endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih organisasi tempat endpoint diaktifkan.

    Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi di organisasi.

  3. Klik nama endpoint firewall untuk melihat detailnya.

gcloud

Untuk melihat detail endpoint firewall, gunakan perintah gcloud network-security firewall-endpoints describe:

gcloud network-security firewall-endpoints \
    describe NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE

Ganti kode berikut:

  • NAME: nama endpoint firewall.

  • ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.

  • ZONE: zona tempat endpoint diaktifkan.

Mencantumkan endpoint tingkat organisasi

Untuk mencantumkan semua endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih organisasi tempat endpoint diaktifkan.

  3. Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi.

gcloud

Untuk mencantumkan semua endpoint firewall, gunakan perintah gcloud network-security firewall-endpoints list:

gcloud network-security firewall-endpoints list \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Ganti kode berikut:

  • ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.

  • ZONE: zona tempat endpoint diaktifkan. Untuk mencantumkan endpoint di semua zona, gunakan -.

  • BILLING_PROJECT_ID: ID projectGoogle Cloud opsional yang akan ditagih kuotanya untuk operasi tersebut. Hal ini hanya diperlukan untuk endpoint firewall tingkat organisasi.

Memperbarui endpoint tingkat organisasi

Untuk memperbarui endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI. Anda juga dapat memperbarui project penagihan endpoint firewall dalam organisasi.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih organisasi tempat endpoint diaktifkan.

    Halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi.

  3. Klik nama endpoint firewall untuk melihat detailnya.

  4. Klik Edit.

  5. Di daftar Billing project, pilih Google Cloud project yang ingin Anda gunakan untuk menagih endpoint firewall.

  6. Klik Simpan.

gcloud

Untuk memperbarui endpoint firewall, gunakan perintah gcloud network-security firewall-endpoints update:

gcloud network-security firewall-endpoints \
    update NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

Ganti kode berikut:

  • NAME: nama endpoint firewall.

  • ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.

  • ZONE: zona tempat endpoint diaktifkan.

  • BILLING_PROJECT_ID: Google Cloud Project ID yang ingin Anda kaitkan dengan endpoint firewall ini untuk penagihan. Hal ini hanya diperlukan untuk endpoint firewall tingkat organisasi.

Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.

Menghapus endpoint tingkat organisasi

Anda dapat menghapus endpoint firewall dengan menentukan nama, zona, dan organisasi atau project-nya.

Untuk menghapus endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih organisasi tempat endpoint diaktifkan.

  3. Pilih endpoint firewall, lalu klik Delete.

  4. Klik Delete lagi untuk mengonfirmasi.

gcloud

Untuk menghapus endpoint firewall, gunakan perintah gcloud network-security firewall-endpoints delete:

gcloud network-security firewall-endpoints delete NAME
    --organization ORGANIZATION_ID \
    --zone ZONE

Ganti kode berikut:

  • NAME: nama endpoint firewall.

  • ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.

  • ZONE: zona tempat endpoint diaktifkan.

Mengelola endpoint tingkat project

Di bagian ini, pelajari cara mengelola endpoint firewall yang ditentukan di tingkat project.

Melihat endpoint tingkat project

Untuk melihat detail endpoint firewall tingkat project, gunakan konsol Google Cloud atau gcloud CLI.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih project tempat endpoint berada.

    Bagian Endpoint firewall yang ada di project ini di halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi di project saat ini.

  3. Klik nama endpoint firewall untuk melihat detailnya.

gcloud

Untuk melihat detail endpoint firewall, gunakan perintah gcloud beta network-security firewall-endpoints describe:

gcloud beta network-security firewall-endpoints \
    describe NAME \
    --project PROJECT_ID \
    --zone ZONE

Ganti kode berikut:

  • NAME: nama endpoint firewall.

  • PROJECT_ID: project tempat endpoint diaktifkan.

  • ZONE: zona tempat endpoint diaktifkan.

Mencantumkan endpoint tingkat project

Untuk mencantumkan semua endpoint firewall tingkat project, gunakan konsol Google Cloud atau gcloud CLI.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih project tempat endpoint berada.

    Bagian Endpoint firewall yang ada di project ini di halaman Endpoint firewall mencantumkan semua endpoint firewall yang dikonfigurasi di project saat ini.

gcloud

Untuk mencantumkan semua endpoint firewall, gunakan perintah gcloud beta network-security firewall-endpoints list:

gcloud beta network-security firewall-endpoints list \
    --project PROJECT_ID \
    --zone ZONE

Ganti kode berikut:

  • PROJECT_ID: project tempat endpoint diaktifkan.

  • ZONE: zona tempat endpoint diaktifkan. Untuk mencantumkan endpoint di semua zona, gunakan -.

Memperbarui endpoint tingkat project

Untuk mengupdate endpoint firewall tingkat project, gunakan gcloud CLI. Anda dapat mengelola label atau memperbarui deskripsi untuk endpoint firewall.

gcloud

Untuk memperbarui endpoint firewall, gunakan perintah gcloud beta network-security firewall-endpoints update:

gcloud beta network-security firewall-endpoints \
    update NAME \
    --project PROJECT_ID \
    --zone ZONE

Ganti kode berikut:

  • NAME: nama endpoint firewall.

  • PROJECT_ID: project tempat endpoint diaktifkan.

  • ZONE: zona tempat endpoint diaktifkan.

Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihat Ukuran paket yang didukung.

Menghapus endpoint tingkat project

Untuk menghapus endpoint firewall tingkat project, gunakan gcloud CLI.

gcloud

Untuk menghapus endpoint firewall, gunakan perintah gcloud network-security firewall-endpoints delete:

gcloud beta network-security firewall-endpoints delete NAME
    --project PROJECT_ID \
    --zone ZONE

Ganti kode berikut:

  • NAME: nama endpoint firewall.

  • PROJECT_ID: project tempat endpoint diaktifkan.

  • ZONE: zona tempat endpoint diaktifkan.

Mengelola asosiasi endpoint firewall

Pengaitan endpoint firewall menghubungkan endpoint firewall ke jaringan VPC di zona tertentu.

Pastikan Anda memiliki endpoint firewall sebelum mengelola pengaitannya. Untuk membuat pengaitan, lihat Membuat endpoint dan pengaitan firewall.

Persyaratan atribusi

Saat mengonfigurasi asosiasi endpoint, ikuti persyaratan berikut:

  • Batasan zona: Anda harus membuat asosiasi di zona yang sama dengan endpoint firewall. Untuk pemeriksaan traffic yang efektif, buat asosiasi di zona tempat instance komputasi Anda di-deploy.
  • Satu endpoint per zona: Dalam satu zona, Anda hanya dapat mengaitkan jaringan VPC dengan satu endpoint firewall (baik tingkat project (Pratinjau) atau tingkat organisasi). Namun, Anda dapat mengaitkan satu jaringan VPC dengan endpoint firewall yang berbeda di beberapa zona yang berbeda.
  • Asosiasi antar-project: Anda dapat mengaitkan jaringan VPC dengan endpoint firewall di project terpisah.
    • Jika Anda menggunakan endpoint tingkat project (Pratinjau), project endpoint harus berada dalam organisasi yang sama dengan jaringan VPC.
  • Pemetaan resource: Asosiasi adalah resource tingkat project. Anda membuat pengaitan dalam project tertentu tempat instance komputasi Anda di-deploy, meskipun pengaitan tersebut mengarah ke endpoint firewall tingkat organisasi.

Endpoint firewall dengan dukungan frame jumbo hanya dapat menerima paket hingga 8.500 byte. Atau, endpoint firewall tanpa dukungan frame jumbo dapat menerima paket hingga 1.460 byte saja. Jika Anda memerlukan layanan pemfilteran URL atau layanan deteksi dan pencegahan intrusi, sebaiknya konfigurasi jaringan VPC terkait untuk menggunakan batas unit transmisi maksimum (MTU) sebesar 8.500 byte dan 1.460 byte. Untuk mengetahui informasi selengkapnya, lihat Ukuran paket yang didukung.

Melihat asosiasi endpoint firewall

Untuk melihat detail asosiasi endpoint firewall tingkat organisasi atau asosiasi endpoint firewall tingkat project, gunakan gcloud CLI.

gcloud

Untuk melihat asosiasi endpoint firewall, gunakan perintah gcloud network-security firewall-endpoint-associations describe.

Endpoint firewall tingkat organisasi

gcloud network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Endpoint firewall tingkat project

gcloud beta network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

Ganti kode berikut:

  • NAME: nama asosiasi endpoint firewall.

  • ZONE: zona asosiasi endpoint firewall.

  • PROJECT_ID: Google Cloud project ID tempat asosiasi dibuat.

Mencantumkan semua asosiasi endpoint firewall

Untuk mencantumkan semua asosiasi endpoint firewall tingkat organisasi dan tingkat project, gunakan Google Cloud konsol atau gcloud CLI.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih project Google Cloud Anda.

    Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall dari endpoint tingkat organisasi dan tingkat project.

gcloud

Untuk mencantumkan asosiasi endpoint firewall untuk jaringan tertentu, gunakan perintah gcloud network-security firewall-endpoint-associations list dengan flag --filter.

Endpoint firewall tingkat organisasi

gcloud network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Endpoint firewall tingkat project

gcloud beta network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

Ganti kode berikut:

  • NETWORK_NAME: nama jaringan VPC.
  • PROJECT_ID: Google Cloud project ID tempat pengaitan endpoint firewall dibuat.

Mengedit pengaitan endpoint firewall

Untuk mengedit asosiasi endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI. Untuk mengedit asosiasi endpoint firewall tingkat project, gunakan gcloud CLI.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih project Google Cloud Anda.

    Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.

  3. Di samping asosiasi endpoint firewall yang ingin Anda perbarui, klik Edit.

  4. Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Enable association.

  5. Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar TLS inspection policy.

  6. Klik Simpan.

gcloud

Untuk memperbarui asosiasi endpoint firewall, gunakan perintah gcloud network-security firewall-endpoint-associations update.

Endpoint firewall tingkat organisasi

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Endpoint firewall tingkat project

gcloud beta network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Ganti kode berikut:

  • NAME: nama asosiasi endpoint firewall.

  • ZONE: zona asosiasi endpoint firewall.

  • PROJECT_ID: Google Cloud project ID tempat asosiasi dibuat.

  • TLS_PROJECT_NAME: nama project Google Cloud dari kebijakan inspeksi TLS.

  • REGION_NAME: nama region kebijakan pemeriksaan TLS.

  • TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.

Menghapus pengaitan endpoint firewall

Untuk menghapus asosiasi endpoint firewall tingkat organisasi, gunakan konsolGoogle Cloud atau gcloud CLI. Untuk menghapus asosiasi endpoint firewall tingkat project, gunakan gcloud CLI.

Saat project Google Cloud dihapus, asosiasi endpoint firewall yang terkait akan otomatis dihapus. Penghapusan ini tidak dapat diurungkan, meskipun project dipulihkan nanti.

Namun, proses penghapusan untuk asosiasi ini terkadang dapat gagal. Jika hal ini terjadi dan project dipulihkan, endpoint firewall terkait akan muncul dalam status ORPHAN dalam project yang dipulihkan. Hal ini menunjukkan link yang rusak antara project dan resource-nya karena penghapusan yang tidak berhasil.

Anda dapat melihat asosiasi tanpa induk ini di konsol Google Cloud , tetapi Anda tidak dapat mengedit asosiasi ini. Cloud Next Generation Firewall secara berkala menjalankan proses di latar belakang yang menghapus resource yang tidak terkait ini.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall endpoints.

    Buka Endpoint firewall

  2. Di menu pemilih project, pilih project Google Cloud Anda.

    Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.

  3. Pilih asosiasi endpoint firewall, lalu klik Hapus.

  4. Klik Delete lagi untuk mengonfirmasi.

gcloud

Untuk menghapus asosiasi endpoint firewall, gunakan perintah gcloud network-security firewall-endpoint-associations delete.

Endpoint firewall tingkat organisasi

gcloud network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Endpoint firewall tingkat project

gcloud beta network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

Ganti kode berikut:

  • NAME: nama asosiasi endpoint firewall.

  • ZONE: zona asosiasi endpoint firewall.

  • PROJECT_ID: Google Cloud project ID tempat asosiasi dibuat.

Langkah berikutnya