Halaman ini menjelaskan cara membuat dan mengelola pengaitan endpoint firewall menggunakan konsol Google Cloud dan Google Cloud CLI.
Saat mengaitkan endpoint firewall dengan satu atau beberapa jaringan Virtual Private Cloud (VPC), Anda membuat pengaitan di zona yang sama dengan endpoint firewall. Anda juga dapat mengaitkan endpoint firewall di zona yang berbeda ke jaringan VPC.
Sebelum memulai
Anda memerlukan jaringan VPC dan subnet.
Anda harus mengaktifkan Compute Engine API di project Google Cloud Anda.
Anda harus mengaktifkan Network Security API di project Google Cloud Anda.
Anda harus mengaktifkan Certificate Authority Service API di project Google Cloud Anda.
Instal gcloud CLI jika Anda ingin menjalankan contoh command line
gcloud
dalam panduan ini.Anda memerlukan endpoint firewall.
Peran
Untuk mendapatkan izin yang diperlukan guna membuat, melihat, memperbarui, atau menghapus asosiasi endpoint firewall, minta administrator untuk memberi Anda peran IAM yang diperlukan di organisasi dan project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Kuota
Untuk melihat kuota untuk pengaitan endpoint firewall, lihat Kuota dan batas.
Membuat pengaitan endpoint firewall
Konsol Google Cloud memungkinkan Anda membuat pengaitan endpoint firewall untuk salah satu dari hal berikut:
Semua opsi ini membuat pengaitan yang sama. Satu-satunya perbedaan antara pengaitan yang dibuat di konsol Google Cloud adalah tempat Anda memulai proses pembuatannya. Untuk pengaitan yang dibuat menggunakan gcloud CLI, prosesnya sama untuk semua pengaitan endpoint firewall.
Membuat pengaitan endpoint firewall untuk jaringan VPC
Anda dapat mengaitkan satu atau beberapa endpoint firewall ke jaringan VPC tertentu. Setiap endpoint firewall terkait termasuk dalam zona yang berbeda dalam jaringan VPC.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik nama jaringan VPC untuk menampilkan halaman Detail jaringan VPC-nya.
Pilih tab Endpoint firewall.
Klik Buat objek atribusi endpoint.
Di daftar Region, pilih region tempat Anda ingin membuat asosiasi endpoint firewall.
Di daftar Zona, pilih zona tempat Anda ingin membuat asosiasi endpoint firewall.
Di daftar Endpoint firewall, pilih endpoint firewall yang ingin Anda hubungkan dengan jaringan VPC ini.
Di daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke jaringan VPC ini.
Klik Create.
gcloud
Untuk membuat pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ORGANIZATION_ID
: ID organisasi tempat endpoint firewall dibuat.ZONE
: zona endpoint firewall.FIREWALL_ENDPOINT_NAME
: nama endpoint firewall.PROJECT_NAME
: nama project Google Cloud jaringan.NETWORK_NAME
: nama jaringan.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME
: nama project Google Cloud untuk kebijakan pemeriksaan TLS.REGION_NAME
: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME
: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS pada traffic terenkripsi di jaringan yang ditentukan. Ini adalah argumen opsional.
Membuat pengaitan endpoint firewall untuk endpoint firewall
Anda dapat mengaitkan satu atau beberapa jaringan VPC ke endpoint firewall tertentu di zona yang sama.
Konsol
Di konsol Google Cloud, buka halaman Endpoint firewall.
Di menu pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Klik Buat objek atribusi endpoint.
Klik Tambahkan pengaitan endpoint.
Dalam daftar Project, pilih project Google Cloud tempat Anda ingin membuat pengaitan endpoint firewall.
Jika Compute Engine API dan Network Security API tidak diaktifkan untuk project Google Cloud, klik Enable.
Di daftar Network, pilih jaringan yang ingin Anda kaitkan ke endpoint firewall.
Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
Untuk menambahkan pengaitan lain, klik Tambahkan pengaitan endpoint.
Klik Create.
gcloud
Untuk membuat pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ORGANIZATION_ID
: ID organisasi tempat endpoint firewall dibuat.ZONE
: zona endpoint firewall.FIREWALL_ENDPOINT_NAME
: nama endpoint firewall.PROJECT_NAME
: nama project Google Cloud jaringan.NETWORK_NAME
: nama jaringan.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME
: nama project Google Cloud untuk kebijakan pemeriksaan TLS.REGION_NAME
: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME
: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS pada traffic terenkripsi di jaringan yang ditentukan. Ini adalah argumen opsional.
Membuat pengaitan endpoint firewall dalam project
Anda dapat menambahkan beberapa pengaitan endpoint firewall ke project tertentu.
Konsol
Di konsol Google Cloud, buka halaman Endpoint firewall.
Di menu pemilih project, pilih project Google Cloud Anda.
Klik Buat objek atribusi endpoint.
Di daftar Region, pilih region tempat Anda ingin membuat asosiasi endpoint firewall.
Di daftar Zona, pilih zona tempat Anda ingin membuat asosiasi endpoint firewall.
Di daftar Endpoint firewall, pilih endpoint firewall yang ingin Anda tambahkan ke pengaitan.
Dalam daftar Network, pilih jaringan yang ingin Anda tambahkan ke asosiasi.
Di TLS inspection policy, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
Klik Create.
gcloud
Untuk membuat pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create
:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ORGANIZATION_ID
: ID organisasi tempat endpoint firewall dibuat.ZONE
: zona endpoint firewall.FIREWALL_ENDPOINT_NAME
: nama endpoint firewall.PROJECT_NAME
: nama project Google Cloud jaringan.NETWORK_NAME
: nama jaringan.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME
: nama project Google Cloud untuk kebijakan pemeriksaan TLS.REGION_NAME
: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME
: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS pada traffic terenkripsi di jaringan yang ditentukan. Ini adalah argumen opsional.
Melihat pengaitan endpoint firewall
Anda dapat melihat detail pengaitan endpoint firewall tertentu di zona.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ZONE
: zona pengaitan endpoint firewall.PROJECT_ID
: project ID Google Cloud dari pengaitan endpoint firewall.
Mencantumkan pengaitan endpoint firewall
Anda dapat mencantumkan pengaitan endpoint firewall untuk jaringan, project, atau endpoint firewall.
Mencantumkan semua pengaitan endpoint firewall untuk jaringan VPC
Anda dapat mencantumkan semua pengaitan endpoint firewall untuk jaringan VPC tertentu.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik nama jaringan VPC untuk menampilkan halaman Detail jaringan VPC-nya.
Pilih tab Endpoint firewall. Tab ini menampilkan daftar asosiasi endpoint firewall yang dikonfigurasi.
gcloud
Untuk mencantumkan pengaitan endpoint firewall untuk jaringan tertentu, gunakan perintah gcloud network-security firewall-endpoint-associations list
dengan flag --filter
:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Ganti kode berikut:
NETWORK_NAME
: Nama jaringan VPC.PROJECT_ID
: project ID Google Cloud dari pengaitan endpoint firewall.
Mencantumkan semua pengaitan endpoint firewall untuk endpoint firewall
Anda dapat mencantumkan semua pengaitan endpoint firewall tertentu.
Konsol
Di konsol Google Cloud, buka halaman Endpoint firewall.
Di menu pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Detail endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi.
gcloud
Untuk mencantumkan pengaitan endpoint firewall untuk endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations list
dengan flag --zone
:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
ZONE
: zona endpoint firewall. Untuk mencantumkan asosiasi endpoint firewall di semua zona, gunakan-
.PROJECT_ID
: project ID Google Cloud dari pengaitan endpoint firewall.
Mencantumkan semua pengaitan endpoint firewall dalam project
Anda dapat mencantumkan semua pengaitan endpoint firewall di project tertentu.
Konsol
Di konsol Google Cloud, buka halaman Endpoint firewall.
Di menu pemilih project, pilih project Google Cloud Anda.
Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
gcloud
Untuk mencantumkan pengaitan endpoint firewall dalam project, gunakan
perintah gcloud network-security firewall-endpoint-associations list
:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Ganti kode berikut:
PROJECT_ID
: project ID Google Cloud dari pengaitan endpoint firewall.
Mengedit pengaitan endpoint firewall
Konsol Google Cloud memungkinkan Anda mengedit pengaitan endpoint firewall untuk jaringan, project, atau endpoint firewall. Petunjuk gcloud CLI untuk mengedit pengaitan endpoint firewall sama untuk semua opsi ini.
Mengedit pengaitan endpoint firewall untuk jaringan VPC
Anda dapat mengedit pengaitan endpoint firewall untuk zona tertentu di jaringan VPC.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik nama jaringan VPC untuk menampilkan halaman Detail jaringan VPC-nya.
Pilih tab Endpoint firewall. Tab ini menampilkan daftar asosiasi endpoint firewall yang dikonfigurasi.
Klik Edit di samping pengaitan endpoint firewall yang ingin Anda perbarui.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Enable association.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Simpan.
gcloud
Untuk memperbarui pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ZONE
: zona pengaitan endpoint firewall.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME
: nama project Google Cloud untuk kebijakan pemeriksaan TLS.REGION_NAME
: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME
: nama kebijakan pemeriksaan TLS.
Mengedit pengaitan endpoint firewall untuk endpoint firewall
Anda dapat mengedit pengaitan untuk endpoint firewall tertentu.
Konsol
Di konsol Google Cloud, buka halaman Endpoint firewall.
Di menu pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Detail endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi.
Klik Edit di samping pengaitan endpoint firewall yang ingin Anda perbarui.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Enable association.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Simpan.
gcloud
Untuk memperbarui pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ZONE
: zona pengaitan endpoint firewall.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME
: nama project Google Cloud untuk kebijakan pemeriksaan TLS.REGION_NAME
: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME
: nama kebijakan pemeriksaan TLS.
Mengedit pengaitan endpoint firewall di project
Anda dapat mengedit pengaitan endpoint firewall di project tertentu.
Konsol
Di konsol Google Cloud, buka halaman Endpoint firewall.
Di menu pemilih project, pilih project Google Cloud Anda.
Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
Di samping pengaitan endpoint firewall yang ingin Anda perbarui, klik Edit.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Enable association.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Simpan.
gcloud
Untuk memperbarui pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update
:
gcloud network-security firewall-endpoint-associations update NAME \ --zone ZONE \ --project PROJECT_ID \ --disabled \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ZONE
: zona pengaitan endpoint firewall.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME
: nama project Google Cloud untuk kebijakan pemeriksaan TLS.REGION_NAME
: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME
: nama kebijakan pemeriksaan TLS.
Menghapus pengaitan endpoint firewall
Konsol Google Cloud memungkinkan Anda menghapus pengaitan endpoint firewall dari jaringan, project, atau endpoint firewall.
Saat project Google Cloud dihapus, pengaitan endpoint firewall terkait akan otomatis dihapus. Penghapusan ini tidak dapat diurungkan, meskipun project dipulihkan nanti.
Namun, proses penghapusan untuk pengaitan ini terkadang dapat gagal.
Jika hal ini terjadi dan project dipulihkan, endpoint firewall terkait akan muncul dalam status ORPHAN
dalam project yang dipulihkan. Hal ini
menunjukkan link yang rusak antara project dan resource-nya karena
penghapusan yang tidak berhasil.
Anda dapat melihat pengaitan yang tidak memiliki induk ini di konsol Google Cloud, tetapi Anda tidak dapat mengedit pengaitan ini. Cloud Next Generation Firewall menjalankan proses latar belakang secara berkala yang menghapus resource yang tidak memiliki induk ini.
Menghapus pengaitan endpoint firewall untuk jaringan VPC
Anda dapat menghapus pengaitan endpoint firewall untuk zona tertentu di jaringan VPC.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik nama jaringan VPC untuk menampilkan halaman Detail jaringan VPC-nya.
Pilih tab Endpoint firewall. Tab ini menampilkan daftar asosiasi endpoint firewall yang dikonfigurasi.
Pilih atribusi endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ZONE
: zona pengaitan endpoint firewall.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.
Menghapus pengaitan endpoint firewall untuk endpoint firewall
Anda dapat menghapus atribusi untuk endpoint firewall tertentu.
Konsol
Di konsol Google Cloud, buka halaman Endpoint firewall.
Di menu pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Detail endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi.
Pilih atribusi endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ZONE
: zona pengaitan endpoint firewall.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.
Menghapus pengaitan endpoint firewall dalam project
Anda dapat menghapus pengaitan endpoint firewall di project tertentu.
Konsol
Di konsol Google Cloud, buka halaman Endpoint firewall.
Di menu pemilih project, pilih project Google Cloud Anda.
Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
Pilih atribusi endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations delete
:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME
: nama pengaitan endpoint firewall.ZONE
: zona pengaitan endpoint firewall.PROJECT_ID
: project ID Google Cloud tempat pengaitan dibuat.
Langkah selanjutnya
- Menggunakan kebijakan dan aturan firewall hierarkis
- Menggunakan kebijakan dan aturan firewall jaringan global