Halaman ini menjelaskan cara membuat dan mengelola asosiasi endpoint firewall menggunakan Konsol Google Cloud dan Google Cloud CLI.
Saat mengaitkan endpoint firewall dengan satu atau beberapa jaringan Virtual Private Cloud (VPC), Anda akan membuat pengaitan di zona endpoint firewall yang sama. Anda juga dapat mengaitkan endpoint firewall di zona berbeda ke jaringan VPC.
Sebelum memulai
Anda memerlukan jaringan VPC dan subnet.
Anda harus enable Compute Engine API di project Google Cloud Anda.
Anda harus enable Network Security API di project Google Cloud.
Anda harus enable Certificate Authority Service API di project Google Cloud Anda.
Instal gcloud CLI jika Anda ingin menjalankan contoh command line
gclouddalam panduan ini.Anda memerlukan endpoint firewall.
Peran
Guna mendapatkan izin yang diperlukan untuk membuat, melihat, mengupdate, atau menghapus asosiasi endpoint firewall, minta administrator untuk memberi Anda peran IAM yang diperlukan pada organisasi dan project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Kuota
Untuk melihat kuota pengaitan endpoint firewall, lihat Kuota dan batas.
Membuat pengaitan endpoint firewall
Google Cloud Console memungkinkan Anda membuat asosiasi endpoint firewall untuk salah satu hal berikut:
Semua opsi ini membuat atribusi yang sama. Satu-satunya perbedaan antara pengaitan yang dibuat di Konsol Google Cloud adalah tempat Anda memulai proses pembuatannya. Untuk pengaitan yang dibuat menggunakan gcloud CLI, prosesnya sama untuk semua asosiasi endpoint firewall.
Membuat pengaitan endpoint firewall untuk jaringan VPC
Anda dapat mengaitkan satu atau beberapa endpoint firewall ke jaringan VPC tertentu. Setiap endpoint firewall terkait berada di zona berbeda dalam jaringan VPC.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik nama jaringan VPC untuk menampilkan halaman detail jaringan VPC.
Pilih tab Firewall endpoint.
Klik Buat pengaitan endpoint.
Dalam daftar Region, pilih region tempat Anda ingin membuat pengaitan endpoint firewall.
Dalam daftar Zone, pilih zona tempat Anda ingin membuat pengaitan endpoint firewall.
Dalam daftar Firewall endpoint, pilih endpoint firewall yang ingin Anda kaitkan dengan jaringan VPC ini.
Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke jaringan VPC ini.
Klik Create.
gcloud
Untuk membuat atribusi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ORGANIZATION_ID: ID organisasi tempat endpoint firewall dibuat.ZONE: zona endpoint firewall.FIREWALL_ENDPOINT_NAME: nama endpoint firewall.PROJECT_NAME: nama project Google Cloud jaringan.NETWORK_NAME: nama jaringan.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME: nama project Google Cloud dari kebijakan pemeriksaan TLS.REGION_NAME: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS pada traffic terenkripsi pada jaringan yang ditentukan. Ini adalah argumen opsional.
Membuat pengaitan endpoint firewall untuk endpoint firewall
Anda dapat mengaitkan satu atau beberapa jaringan VPC ke endpoint firewall tertentu di zona yang sama.
Konsol
Di konsol Google Cloud, buka halaman Firewall endpoint.
Di menu drop-down pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Klik Buat pengaitan endpoint.
Klik Tambahkan pengaitan endpoint.
Dalam daftar Project, pilih project Google Cloud tempat Anda ingin membuat pengaitan endpoint firewall.
Jika Compute Engine API dan Network Security API tidak diaktifkan untuk project Google Cloud, klik Enable.
Dalam daftar Jaringan, pilih jaringan yang ingin dikaitkan ke endpoint firewall.
Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
Untuk menambahkan atribusi lain, klik Tambahkan atribusi endpoint.
Klik Create.
gcloud
Untuk membuat atribusi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ORGANIZATION_ID: ID organisasi tempat endpoint firewall dibuat.ZONE: zona endpoint firewall.FIREWALL_ENDPOINT_NAME: nama endpoint firewall.PROJECT_NAME: nama project Google Cloud jaringan.NETWORK_NAME: nama jaringan.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME: nama project Google Cloud dari kebijakan pemeriksaan TLS.REGION_NAME: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS pada traffic terenkripsi pada jaringan yang ditentukan. Ini adalah argumen opsional.
Membuat pengaitan endpoint firewall dalam sebuah project
Anda dapat menambahkan beberapa pengaitan endpoint firewall ke project tertentu.
Konsol
Di konsol Google Cloud, buka halaman Firewall endpoint.
Di menu drop-down pemilih project, pilih project Google Cloud Anda.
Klik Buat pengaitan endpoint.
Dalam daftar Region, pilih region tempat Anda ingin membuat pengaitan endpoint firewall.
Dalam daftar Zone, pilih zona tempat Anda ingin membuat pengaitan endpoint firewall.
Di daftar Firewall endpoint, pilih endpoint firewall yang ingin Anda tambahkan ke pengaitan.
Dalam daftar Jaringan, pilih jaringan yang ingin Anda tambahkan ke pengaitan.
Dalam Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
Klik Create.
gcloud
Untuk membuat atribusi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organization/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ORGANIZATION_ID: ID organisasi tempat endpoint firewall dibuat.ZONE: zona endpoint firewall.FIREWALL_ENDPOINT_NAME: nama endpoint firewall.PROJECT_NAME: nama project Google Cloud jaringan.NETWORK_NAME: nama jaringan.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME: nama project Google Cloud dari kebijakan pemeriksaan TLS.REGION_NAME: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS pada traffic terenkripsi pada jaringan yang ditentukan. Ini adalah argumen opsional.
Melihat pengaitan endpoint firewall
Anda dapat melihat detail pengaitan endpoint firewall tertentu dalam zona.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project Google Cloud dari pengaitan endpoint firewall.
Mencantumkan pengaitan endpoint firewall
Anda dapat menampilkan daftar asosiasi endpoint firewall untuk jaringan, project, atau endpoint firewall.
Mencantumkan semua asosiasi endpoint firewall untuk jaringan VPC
Anda dapat menampilkan daftar semua asosiasi endpoint firewall untuk jaringan VPC tertentu.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik nama jaringan VPC untuk menampilkan halaman detail jaringan VPC.
Pilih tab Firewall endpoint. Tab ini menampilkan daftar asosiasi endpoint firewall yang dikonfigurasi.
gcloud
Guna menampilkan daftar asosiasi endpoint firewall untuk jaringan tertentu, gunakan perintah gcloud network-security firewall-endpoint-associations list dengan flag --filter:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Ganti kode berikut:
NETWORK_NAME: Nama jaringan VPC.PROJECT_ID: ID project Google Cloud dari pengaitan endpoint firewall.
Mencantumkan semua asosiasi endpoint firewall untuk endpoint firewall
Anda dapat menampilkan daftar semua asosiasi endpoint firewall tertentu.
Konsol
Di konsol Google Cloud, buka halaman Firewall endpoint.
Di menu drop-down pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Firewall endpoint details, tabel akan mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi.
gcloud
Guna menampilkan daftar asosiasi endpoint firewall untuk endpoint firewall, gunakan perintah gcloud network-security firewall-endpoint-associations list dengan flag --zone:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
ZONE: zona endpoint firewall. Untuk mencantumkan asosiasi endpoint firewall di semua zona, gunakan-.PROJECT_ID: ID project Google Cloud dari pengaitan endpoint firewall.
Mencantumkan semua pengaitan endpoint firewall dalam sebuah project
Anda dapat menampilkan daftar semua pengaitan endpoint firewall dalam project tertentu.
Konsol
Di konsol Google Cloud, buka halaman Firewall endpoint.
Di menu drop-down pemilih project, pilih project Google Cloud Anda.
Di bagian Firewall endpoint associate, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
gcloud
Untuk menampilkan daftar pengaitan endpoint firewall dalam sebuah project, gunakan perintah gcloud network-security firewall-endpoint-associations list:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Ganti kode berikut:
PROJECT_ID: ID project Google Cloud dari pengaitan endpoint firewall.
Edit pengaitan endpoint firewall
Google Cloud Console dapat digunakan untuk mengedit asosiasi endpoint firewall untuk jaringan, project, atau endpoint firewall. Petunjuk gcloud CLI untuk mengedit asosiasi endpoint firewall sama untuk semua opsi ini.
Mengedit pengaitan endpoint firewall untuk jaringan VPC
Anda dapat mengedit pengaitan endpoint firewall untuk zona tertentu dalam jaringan VPC.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik nama jaringan VPC untuk menampilkan halaman detail jaringan VPC.
Pilih tab Firewall endpoint. Tab ini menampilkan daftar asosiasi endpoint firewall yang dikonfigurasi.
Klik Edit di samping pengaitan endpoint firewall yang ingin diupdate.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Aktifkan pengaitan.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Save.
gcloud
Untuk memperbarui pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME: nama project Google Cloud dari kebijakan pemeriksaan TLS.REGION_NAME: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.
Mengedit pengaitan endpoint firewall untuk endpoint firewall
Anda dapat mengedit pengaitan untuk endpoint firewall tertentu.
Konsol
Di konsol Google Cloud, buka halaman Firewall endpoint.
Di menu drop-down pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Firewall endpoint details, tabel akan mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi.
Klik Edit di samping pengaitan endpoint firewall yang ingin diupdate.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Aktifkan pengaitan.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Save.
gcloud
Untuk memperbarui pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME: nama project Google Cloud dari kebijakan pemeriksaan TLS.REGION_NAME: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.
Mengedit pengaitan endpoint firewall dalam sebuah project
Anda dapat mengedit pengaitan endpoint firewall dalam project tertentu.
Konsol
Di konsol Google Cloud, buka halaman Firewall endpoint.
Di menu drop-down pemilih project, pilih project Google Cloud Anda.
Di bagian Firewall endpoint associate, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
Di samping pengaitan endpoint firewall yang ingin diperbarui, klik Edit.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Aktifkan pengaitan.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Save.
gcloud
Untuk memperbarui pengaitan endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.TLS_PROJECT_NAME: nama project Google Cloud dari kebijakan pemeriksaan TLS.REGION_NAME: nama region kebijakan pemeriksaan TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.
Menghapus pengaitan endpoint firewall
Google Cloud Console dapat digunakan untuk menghapus asosiasi endpoint firewall dari jaringan, project, atau endpoint firewall. Petunjuk gcloud CLI untuk menghapus asosiasi endpoint firewall sama untuk semua opsi ini.
Menghapus pengaitan endpoint firewall untuk jaringan VPC
Anda dapat menghapus pengaitan endpoint firewall untuk zona tertentu dalam jaringan VPC.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Klik nama jaringan VPC untuk menampilkan halaman detail jaringan VPC.
Pilih tab Firewall endpoint. Tab ini menampilkan daftar asosiasi endpoint firewall yang dikonfigurasi.
Pilih pengaitan endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus pengaitan endpoint firewall, gunakan perintah gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.
Menghapus pengaitan endpoint firewall untuk endpoint firewall
Anda dapat menghapus pengaitan untuk endpoint firewall tertentu.
Konsol
Di konsol Google Cloud, buka halaman Firewall endpoint.
Di menu drop-down pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Firewall endpoint details, tabel akan mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi.
Pilih pengaitan endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus pengaitan endpoint firewall, gunakan perintah gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.
Menghapus pengaitan endpoint firewall dalam sebuah project
Anda dapat menghapus pengaitan endpoint firewall di project tertentu.
Konsol
Di konsol Google Cloud, buka halaman Firewall endpoint.
Di menu drop-down pemilih project, pilih project Google Cloud Anda.
Di bagian Firewall endpoint associate, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
Pilih pengaitan endpoint firewall, lalu klik Delete.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus pengaitan endpoint firewall, gunakan perintah gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME: nama pengaitan endpoint firewall.ZONE: zona pengaitan endpoint firewall.PROJECT_ID: ID project Google Cloud tempat pengaitan dibuat.
Langkah selanjutnya
- Menggunakan kebijakan dan aturan firewall hierarkis
- Menggunakan kebijakan dan aturan firewall jaringan global