방화벽 엔드포인트 및 엔드포인트 연결 관리

이 페이지에서는Google Cloud 콘솔과 Google Cloud CLI를 사용하여 방화벽 엔드포인트와 가상 프라이빗 클라우드 (VPC) 네트워크와의 연결을 관리하는 방법을 설명합니다.

방화벽 엔드포인트에 대한 자세한 내용은 방화벽 엔드포인트 개요를 참고하세요. 방화벽 엔드포인트를 만들려면 방화벽 엔드포인트 만들기를 참고하세요.

시작하기 전에

방화벽 엔드포인트와 연결을 관리하기 전에 다음을 완료하세요.

  1. VPC 네트워크서브넷이 있는지 확인합니다.
  2. 필요한 API를 사용 설정합니다.
  3. gcloud 명령줄 예시를 실행하려면 gcloud CLI를 설치합니다.

역할 및 권한

방화벽 엔드포인트 및 연결을 보고, 업데이트하거나 삭제하는 데 필요한 권한을 얻으려면 관리자에게 조직 또는 프로젝트에 필요한 ID 및 액세스 관리 (IAM) 역할을 부여해 달라고 요청하세요. 자세한 내용은 액세스 관리를 참조하세요.

이 페이지에 나열된 작업의 진행 상황을 확인하려면 사용자 계정에 다음 권한이 포함된 Compute 네트워크 사용자 (roles/compute.networkUser) 역할이 있는지 확인하세요.

  • networksecurity.operations.get
  • networksecurity.operations.list

할당량

방화벽 엔드포인트 및 연결의 할당량을 보려면 할당량 및 한도를 참고하세요.

조직 수준 엔드포인트 관리

이 섹션에서는 조직 수준에서 정의된 방화벽 엔드포인트를 관리하는 방법을 알아봅니다.

조직 수준 엔드포인트 보기

조직 수준 방화벽 엔드포인트의 세부정보를 보려면Google Cloud 콘솔 또는 gcloud CLI를 사용합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 엔드포인트가 활성화된 조직을 선택합니다.

    방화벽 엔드포인트 페이지에 조직에 구성된 모든 방화벽 엔드포인트가 나열됩니다.

  3. 방화벽 엔드포인트 이름을 클릭하여 세부정보를 봅니다.

gcloud

방화벽 엔드포인트의 세부정보를 보려면 gcloud network-security firewall-endpoints describe 명령어를 사용합니다.

gcloud network-security firewall-endpoints \
    describe NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 이름입니다.

  • ORGANIZATION_ID: 엔드포인트가 활성화된 조직입니다.

  • ZONE: 엔드포인트가 활성화된 영역입니다.

조직 수준 엔드포인트 나열

모든 조직 수준 방화벽 엔드포인트를 나열하려면Google Cloud 콘솔 또는 gcloud CLI를 사용합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 엔드포인트가 활성화된 조직을 선택합니다.

  3. 방화벽 엔드포인트 페이지에 구성된 모든 방화벽 엔드포인트가 나열됩니다.

gcloud

모든 방화벽 엔드포인트를 나열하려면 gcloud network-security firewall-endpoints list 명령어를 사용합니다.

gcloud network-security firewall-endpoints list \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

다음을 바꿉니다.

  • ORGANIZATION_ID: 엔드포인트가 활성화된 조직입니다.

  • ZONE: 엔드포인트가 활성화된 영역입니다. 모든 영역의 엔드포인트를 나열하려면 -를 사용합니다.

  • BILLING_PROJECT_ID: 작업 할당량 요금이 청구되는 선택적Google Cloud 프로젝트 ID입니다. 조직 수준 방화벽 엔드포인트에만 필요합니다.

조직 수준 엔드포인트 업데이트

조직 수준 방화벽 엔드포인트를 업데이트하려면Google Cloud 콘솔 또는 gcloud CLI를 사용하세요. 조직에서 방화벽 엔드포인트의 결제 프로젝트를 업데이트할 수도 있습니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 엔드포인트가 활성화된 조직을 선택합니다.

    방화벽 엔드포인트 페이지에 구성된 모든 방화벽 엔드포인트가 나열됩니다.

  3. 방화벽 엔드포인트 이름을 클릭하여 세부정보를 봅니다.

  4. 수정을 클릭합니다.

  5. 결제 프로젝트 목록에서 방화벽 엔드포인트 결제에 사용할 Google Cloud 프로젝트를 선택합니다.

  6. 저장을 클릭합니다.

gcloud

방화벽 엔드포인트를 업데이트하려면 gcloud network-security firewall-endpoints update 명령어를 사용합니다.

gcloud network-security firewall-endpoints \
    update NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 이름입니다.

  • ORGANIZATION_ID: 엔드포인트가 활성화된 조직입니다.

  • ZONE: 엔드포인트가 활성화된 영역입니다.

  • BILLING_PROJECT_ID: 결제를 위해 이 방화벽 엔드포인트와 연결할 Google Cloud 프로젝트 ID입니다. 조직 수준 방화벽 엔드포인트에만 필요합니다.

방화벽 엔드포인트에서 지원하는 패킷 크기에 대한 자세한 내용은 지원되는 패킷 크기를 참고하세요.

조직 수준 엔드포인트 삭제

이름, 영역, 조직 또는 프로젝트를 지정하여 방화벽 엔드포인트를 삭제할 수 있습니다.

조직 수준 방화벽 엔드포인트를 삭제하려면Google Cloud 콘솔 또는 gcloud CLI를 사용합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 엔드포인트가 활성화된 조직을 선택합니다.

  3. 방화벽 엔드포인트를 선택한 후 삭제를 클릭합니다.

  4. 삭제를 다시 클릭하여 확인합니다.

gcloud

방화벽 엔드포인트를 삭제하려면 gcloud network-security firewall-endpoints delete 명령어를 사용합니다.

gcloud network-security firewall-endpoints delete NAME
    --organization ORGANIZATION_ID \
    --zone ZONE

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 이름입니다.

  • ORGANIZATION_ID: 엔드포인트가 활성화된 조직입니다.

  • ZONE: 엔드포인트가 활성화된 영역입니다.

프로젝트 수준 엔드포인트 관리

이 섹션에서는 프로젝트 수준에서 정의된 방화벽 엔드포인트를 관리하는 방법을 알아봅니다.

프로젝트 수준 엔드포인트 보기

프로젝트 수준 방화벽 엔드포인트의 세부정보를 보려면 Google Cloud 콘솔 또는 gcloud CLI를 사용합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 엔드포인트가 있는 프로젝트를 선택합니다.

    방화벽 엔드포인트 페이지의 이 프로젝트에 있는 방화벽 엔드포인트 섹션에 현재 프로젝트에 구성된 모든 방화벽 엔드포인트가 나열됩니다.

  3. 방화벽 엔드포인트 이름을 클릭하여 세부정보를 봅니다.

gcloud

방화벽 엔드포인트의 세부정보를 보려면 gcloud beta network-security firewall-endpoints describe 명령어를 사용합니다.

gcloud beta network-security firewall-endpoints \
    describe NAME \
    --project PROJECT_ID \
    --zone ZONE

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 이름입니다.

  • PROJECT_ID: 엔드포인트가 활성화된 프로젝트입니다.

  • ZONE: 엔드포인트가 활성화된 영역입니다.

프로젝트 수준 엔드포인트 나열

모든 프로젝트 수준 방화벽 엔드포인트를 나열하려면 Google Cloud 콘솔 또는 gcloud CLI를 사용합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 엔드포인트가 있는 프로젝트를 선택합니다.

    방화벽 엔드포인트 페이지의 이 프로젝트에 있는 방화벽 엔드포인트 섹션에 현재 프로젝트에 구성된 모든 방화벽 엔드포인트가 나열됩니다.

gcloud

모든 방화벽 엔드포인트를 나열하려면 gcloud beta network-security firewall-endpoints list 명령어를 사용합니다.

gcloud beta network-security firewall-endpoints list \
    --project PROJECT_ID \
    --zone ZONE

다음을 바꿉니다.

  • PROJECT_ID: 엔드포인트가 활성화된 프로젝트입니다.

  • ZONE: 엔드포인트가 활성화된 영역입니다. 모든 영역의 엔드포인트를 나열하려면 -를 사용합니다.

프로젝트 수준 엔드포인트 업데이트

프로젝트 수준 방화벽 엔드포인트를 업데이트하려면 gcloud CLI를 사용하세요. 방화벽 엔드포인트의 라벨을 관리하거나 설명을 업데이트할 수 있습니다.

gcloud

방화벽 엔드포인트를 업데이트하려면 gcloud beta network-security firewall-endpoints update 명령어를 사용합니다.

gcloud beta network-security firewall-endpoints \
    update NAME \
    --project PROJECT_ID \
    --zone ZONE

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 이름입니다.

  • PROJECT_ID: 엔드포인트가 활성화된 프로젝트입니다.

  • ZONE: 엔드포인트가 활성화된 영역입니다.

방화벽 엔드포인트에서 지원하는 패킷 크기에 대한 자세한 내용은 지원되는 패킷 크기를 참고하세요.

프로젝트 수준 엔드포인트 삭제

프로젝트 수준 방화벽 엔드포인트를 삭제하려면 gcloud CLI를 사용하세요.

gcloud

방화벽 엔드포인트를 삭제하려면 gcloud network-security firewall-endpoints delete 명령어를 사용합니다.

gcloud beta network-security firewall-endpoints delete NAME
    --project PROJECT_ID \
    --zone ZONE

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 이름입니다.

  • PROJECT_ID: 엔드포인트가 활성화된 프로젝트입니다.

  • ZONE: 엔드포인트가 활성화된 영역입니다.

방화벽 엔드포인트 연결 관리

방화벽 엔드포인트 연결은 방화벽 엔드포인트를 특정 영역의 VPC 네트워크에 연결합니다.

연결을 관리하기 전에 방화벽 엔드포인트가 있는지 확인하세요. 연결을 만들려면 방화벽 엔드포인트 및 연결 만들기를 참고하세요.

연결 요구사항

엔드포인트 연결을 구성할 때는 다음 요구사항을 따르세요.

  • 영역 제약 조건: 방화벽 엔드포인트와 동일한 영역에 연결을 만들어야 합니다. 효과적인 트래픽 검사를 위해 컴퓨팅 인스턴스가 배포된 영역에 연결을 만드세요.
  • 영역당 하나의 엔드포인트: 단일 영역에서 VPC 네트워크를 하나의 방화벽 엔드포인트 (프로젝트 수준(미리보기) 또는 조직 수준)와만 연결할 수 있습니다. 하지만 여러 다른 영역에서 단일 VPC 네트워크를 서로 다른 방화벽 엔드포인트와 연결할 수 있습니다.
  • 프로젝트 간 연결: VPC 네트워크를 별도의 프로젝트에 있는 방화벽 엔드포인트와 연결할 수 있습니다.
    • 프로젝트 수준 엔드포인트(미리보기)를 사용하는 경우 엔드포인트의 프로젝트가 VPC 네트워크와 동일한 조직에 있어야 합니다.
  • 리소스 매핑: 연결은 프로젝트 수준 리소스입니다. 연결이 조직 수준 방화벽 엔드포인트를 가리키더라도 컴퓨팅 인스턴스가 배포된 특정 프로젝트 내에서 연결을 만듭니다.

점보 프레임 지원이 있는 방화벽 엔드포인트는 최대 8,500바이트의 패킷만 허용할 수 있습니다. 또는 점보 프레임 지원이 없는 방화벽 엔드포인트는 최대 1,460바이트의 패킷만 허용할 수 있습니다. URL 필터링 서비스 또는 침입 감지 및 방지 서비스가 필요한 경우 연결된 VPC 네트워크가 8,500바이트 및 1,460바이트의 최대 전송 단위 (MTU) 한도를 사용하도록 구성하는 것이 좋습니다. 자세한 내용은 지원되는 패킷 크기를 참고하세요.

방화벽 엔드포인트 연결 보기

조직 수준 방화벽 엔드포인트 연결 또는 프로젝트 수준 방화벽 엔드포인트 연결의 세부정보를 보려면 gcloud CLI를 사용하세요.

gcloud

방화벽 엔드포인트 연결을 보려면 gcloud network-security firewall-endpoint-associations describe 명령어를 사용합니다.

조직 수준 방화벽 엔드포인트

gcloud network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

프로젝트 수준 방화벽 엔드포인트

gcloud beta network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 연결 이름입니다.

  • ZONE: 방화벽 엔드포인트 연결 영역입니다.

  • PROJECT_ID: 연결이 생성되는 Google Cloud 프로젝트 ID입니다.

모든 방화벽 엔드포인트 연결 나열

모든 조직 수준 및 프로젝트 수준 방화벽 엔드포인트 연결을 나열하려면Google Cloud 콘솔 또는 gcloud CLI를 사용합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 Google Cloud 프로젝트를 선택합니다.

    방화벽 엔드포인트 연결 섹션의 표에는 조직 수준 및 프로젝트 수준 엔드포인트의 모든 방화벽 엔드포인트 연결이 나열됩니다.

gcloud

특정 네트워크의 방화벽 엔드포인트 연결을 나열하려면 --filter 플래그와 함께 gcloud network-security firewall-endpoint-associations list 명령어를 사용합니다.

조직 수준 방화벽 엔드포인트

gcloud network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

프로젝트 수준 방화벽 엔드포인트

gcloud beta network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

다음을 바꿉니다.

  • NETWORK_NAME: VPC 네트워크의 이름입니다.
  • PROJECT_ID: 방화벽 엔드포인트 연결이 생성되는 Google Cloud 프로젝트 ID입니다.

방화벽 엔드포인트 연결 수정

조직 수준 방화벽 엔드포인트 연결을 수정하려면Google Cloud 콘솔 또는 gcloud CLI를 사용합니다. 프로젝트 수준 방화벽 엔드포인트 연결을 수정하려면 gcloud CLI를 사용하세요.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 Google Cloud 프로젝트를 선택합니다.

    방화벽 엔드포인트 연결 섹션의 테이블에 이 프로젝트에 대해 구성된 모든 방화벽 엔드포인트 연결이 나열됩니다.

  3. 업데이트하려는 방화벽 엔드포인트 연결 옆에 있는 수정을 클릭합니다.

  4. 방화벽 엔드포인트 연결을 사용 중지하려면 연결 사용 설정 체크박스를 선택 취소합니다.

  5. TLS 검사 정책을 업데이트하려면 TLS 검사 정책 목록에서 새 정책을 선택합니다.

  6. 저장을 클릭합니다.

gcloud

방화벽 엔드포인트 연결을 업데이트하려면 gcloud network-security firewall-endpoint-associations update 명령어를 사용합니다.

조직 수준 방화벽 엔드포인트

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

프로젝트 수준 방화벽 엔드포인트

gcloud beta network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 연결 이름입니다.

  • ZONE: 방화벽 엔드포인트 연결 영역입니다.

  • PROJECT_ID: 연결이 생성되는 Google Cloud 프로젝트 ID입니다.

  • TLS_PROJECT_NAME: TLS 검사 정책의 Google Cloud 프로젝트 이름입니다.

  • REGION_NAME: TLS 검사 정책의 리전 이름입니다.

  • TLS_POLICY_NAME: TLS 검사 정책 이름입니다.

방화벽 엔드포인트 연결 삭제

조직 수준 방화벽 엔드포인트 연결을 삭제하려면Google Cloud 콘솔 또는 gcloud CLI를 사용합니다. 프로젝트 수준 방화벽 엔드포인트 연결을 삭제하려면 gcloud CLI를 사용하세요.

Google Cloud 프로젝트가 삭제되면 연결된 방화벽 엔드포인트 연결이 자동으로 삭제됩니다. 이러한 삭제는 나중에 프로젝트를 복원하더라도 되돌릴 수 없습니다.

하지만 이러한 연결의 삭제 프로세스는 경우에 따라 실패할 수 있습니다. 삭제가 실패하고 프로젝트가 복원된 경우에는 복원된 프로젝트 내에 연결된 방화벽 엔드포인트가 ORPHAN 상태로 표시됩니다. 이는 삭제 실패로 인해 프로젝트와 리소스 간의 링크가 깨졌음을 나타냅니다.

이렇게 고립된 연결은 Google Cloud 콘솔에서 볼 수 있지만 연결을 수정할 수는 없습니다. Cloud Next Generation Firewall은 이러한 고립된 리소스를 삭제하는 백그라운드 프로세스를 주기적으로 실행합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 엔드포인트 페이지로 이동합니다.

    방화벽 엔드포인트로 이동

  2. 프로젝트 선택기 메뉴에서 Google Cloud 프로젝트를 선택합니다.

    방화벽 엔드포인트 연결 섹션의 테이블에 이 프로젝트에 대해 구성된 모든 방화벽 엔드포인트 연결이 나열됩니다.

  3. 방화벽 엔드포인트 연결을 선택한 후 삭제를 클릭합니다.

  4. 삭제를 다시 클릭하여 확인합니다.

gcloud

방화벽 엔드포인트 연결을 삭제하려면 gcloud network-security firewall-endpoint-associations delete 명령어를 사용합니다.

조직 수준 방화벽 엔드포인트

gcloud network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

프로젝트 수준 방화벽 엔드포인트

gcloud beta network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

다음을 바꿉니다.

  • NAME: 방화벽 엔드포인트 연결 이름입니다.

  • ZONE: 방화벽 엔드포인트 연결 영역입니다.

  • PROJECT_ID: 연결이 생성되는 Google Cloud 프로젝트 ID입니다.

다음 단계