특정 위치정보로 이동하는 이그레스 연결이 거부되도록 전역 네트워크 방화벽 정책 구성

이 튜토리얼에서는 네트워크의 특정 위치정보로 이동하는 이그레스 트래픽을 차단하는 전역 네트워크 방화벽 정책을 만들고 구성하는 방법을 설명합니다. 서브넷 2개가 있는 Virtual Private Cloud(VPC) 네트워크를 만들고 위치정보 방화벽 규칙을 사용하여 방화벽 정책을 설정한 후 방화벽 규칙을 테스트하는 예시를 살펴봅니다.

목표

이 튜토리얼에서는 다음 작업을 완료하는 방법을 보여줍니다.

서로 다른 리전에 서브넷 2개가 있는 커스텀 VPC 네트워크를 만듭니다.
각 미국 및 싱가포르 리전에 가상 머신(VM) 인스턴스를 만듭니다.
미국 VM이 공개 인터넷에 액세스할 수 있도록 Cloud Router 및 Cloud NAT 게이트웨이를 만듭니다.
전역 네트워크 방화벽 정책을 만들고 IAP(Identity-Aware Proxy)를 사용 설정하는 방화벽 규칙을 추가합니다.
싱가포르 VM에 Apache 서버를 설치합니다.
특정 위치정보로 이동하는 트래픽을 차단하는 방화벽 규칙을 추가합니다.
위치정보 방화벽 규칙을 테스트합니다.

다음 다이어그램에서는 커스텀 VPC 네트워크 내의 us-central1 및 asia-southeast1 리전에 있는 VM 간 트래픽을 보여줍니다. 전역 네트워크 방화벽 정책은 특정 위치정보로 이동하는 이그레스 트래픽을 차단합니다. us-central1 리전의 VM은 외부 IP 주소를 사용하지 않고 인터넷 액세스에 Cloud Router 및 Cloud NAT를 사용합니다. us-central1 리전의 VM은 asia-southeast1 리전에 있는 VM의 외부 IP 주소를 사용하여 방화벽 규칙을 테스트합니다.

서브넷에서 특정 위치정보로 이동하는 이그레스 트래픽을 차단하는 전역 네트워크 방화벽 정책(확대하려면 클릭)

시작하기 전에

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

Compute 네트워크 관리자 역할(roles/compute.networkAdmin)이 있는지 확인합니다.
Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.
Enable the APIs

명령줄 작업을 더 선호할 경우에는 Google Cloud CLI를 설치합니다. 도구에 대한 개념 및 설치 정보는 gcloud CLI 개요를 참조하세요.
참고: 이전에 Google Cloud CLI를 실행한 적이 없으면 gcloud init 명령어를 실행하여 gcloud CLI 디렉터리를 초기화합니다.

서브넷이 있는 커스텀 VPC 네트워크 만들기

IPv4 서브넷 2개가 있는 커스텀 모드 VPC 네트워크를 만듭니다.

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
VPC 네트워크 만들기를 클릭합니다.
이름에 vpc-geo-location를 입력합니다.
서브넷 생성 모드에 커스텀을 선택합니다.
새 서브넷 섹션에서 서브넷에 다음 구성 매개변수를 지정합니다.
- 이름: subnet-1-us
- 리전: us-central1
- IPv4 범위: 10.0.0.0/24
완료를 클릭합니다.
서브넷 추가를 클릭하고 다음 구성 매개변수를 지정합니다.
- 이름: subnet-2-sg
- 리전: asia-southeast1
- IPv4 범위: 192.168.200.0/24
완료를 클릭합니다.
만들기를 클릭합니다.

gcloud

터미널을 열려면 Cloud Shell 활성화를 클릭합니다.

VPC 네트워크를 만들려면 다음 명령어를 실행합니다.

gcloud compute networks create vpc-geo-location \
  --subnet-mode=custom

Cloud Shell 승인 대화상자에서 승인을 클릭합니다.

서브넷을 만들려면 다음 명령어를 실행합니다.

gcloud compute networks subnets create subnet-1-us \
  --network=vpc-geo-location \
  --region=us-central1 \
  --range=10.0.0.0/24

다른 서브넷을 만들려면 다음 명령어를 실행합니다.

gcloud compute networks subnets create subnet-2-sg \
  --network=vpc-geo-location \
  --region=asia-southeast1 \
  --range=192.168.200.0/24

VM 만들기

이 섹션에서는 이전 섹션에서 구성한 서브넷에 VM 2개를 만듭니다.

`us-central1` 리전에 VM 만들기

외부 IP 주소를 사용하지 않고 us-central1 리전에 VM을 만듭니다.

콘솔

us-central1 리전에 VM을 만들려면 다음 단계를 수행합니다.

Google Cloud 콘솔에서 인스턴스 만들기 페이지로 이동합니다.

인스턴스 만들기로 이동
이름에 instance-1-us를 입력합니다.
리전에서 us-central1 (Iowa)을 선택합니다.
고급 옵션을 펼친 후 네트워킹을 펼칩니다.
네트워크 인터페이스 섹션에서 기본값을 펼치고 다음 구성 매개변수를 지정합니다.
- 네트워크: vpc-geo-location
- 서브네트워크: subnet-1-us IPv4 (10.0.0.0/24)
- 외부 IPv4 주소: 없음
완료를 클릭합니다.
만들기를 클릭합니다.

gcloud

us-central1 리전에 VM을 만들려면 다음 명령어를 실행합니다.

gcloud compute instances create instance-1-us \
     --network=vpc-geo-location \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-1-us

`asia-southeast1` 리전에 VM 만들기

콘솔

asia-southeast1 리전에 VM을 만들려면 다음 단계를 수행합니다.

Google Cloud 콘솔에서 인스턴스 만들기 페이지로 이동합니다.

인스턴스 만들기로 이동
이름에 instance-2-sg를 입력합니다.
리전에 asia-southeast1 (Singapore)을 선택합니다.
고급 옵션을 펼친 후 네트워킹을 펼칩니다.
네트워크 인터페이스 섹션에서 기본값을 펼치고 다음 구성 매개변수를 지정합니다.
- 네트워크: vpc-geo-location
- 서브네트워크: subnet-2-sg IPv4 (192.168.200.0/24)
완료를 클릭합니다.
만들기를 클릭합니다.

gcloud

asia-southeast1 리전에 VM을 만들려면 다음 명령어를 실행합니다.

gcloud compute instances create instance-2-sg \
    --network=vpc-geo-location \
    --zone=asia-southeast1-b \
    --subnet=subnet-2-sg \
    --stack-type=IPV4_ONLY

Cloud Router 및 Cloud NAT 게이트웨이 만들기

이전 섹션에서 instance-1-us 및 asia-southeast1 등 VM 2개를 만들었습니다. instance-1-us VM에서 공개 인터넷에 액세스하도록 허용하려면 Cloud Router 및 Cloud NAT 게이트웨이를 만듭니다.

콘솔

Google Cloud 콘솔에서 Cloud NAT 페이지로 이동합니다.

Cloud NAT로 이동
시작하기 또는 Cloud NAT 게이트웨이 만들기를 클릭합니다.
게이트웨이 이름에 nat-gateway을 입력합니다.
NAT 유형에서 Public 을 선택합니다.
Cloud Router 선택 섹션에서 다음 구성 매개변수를 지정합니다.
- 네트워크: vpc-geo-location
- 리전: us-central1
- Cloud Router: 새 라우터 만들기
  1. 이름에 router-fw-rules를 입력합니다.
  2. 만들기를 클릭합니다.
만들기를 클릭합니다.
Google Cloud 콘솔에서 IP 주소 페이지로 이동합니다.

IP 주소로 이동
외부 IP 주소 탭을 클릭한 후 Cloud NAT(nat-auto-ip)의 IP 주소를 복사합니다. 이 IP 주소는 instance-1-us VM과 instance-2-sg VM 간의 연결을 검증할 때 사용됩니다.

gcloud

Cloud Router를 만들려면 다음 명령어를 실행합니다.

gcloud compute routers create router-fw-rules \
  --network=vpc-geo-location \
  --region=us-central1

Cloud NAT 게이트웨이를 만들려면 다음 명령어를 실행합니다.

gcloud compute routers nats create nat-gateway \
  --router=router-fw-rules \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

Cloud NAT IP 주소를 보려면 다음 명령어를 실행합니다.
```
gcloud compute routers get-nat-ip-info \
  router-fw-rules \
  --region=us-central1
```
Cloud NAT(natIp)의 IP 주소를 복사해야 합니다. 이 IP 주소는 instance-1-us VM과 instance-2-sg VM 간의 연결을 검증할 때 사용됩니다.

IAP를 사용 설정하도록 전역 네트워크 방화벽 정책 만들기

이 섹션에서는 전역 네트워크 방화벽 정책을 만들고 IAP를 사용 설정하는 방화벽 규칙을 추가합니다. IAP는 VM 인스턴스에 대한 관리 액세스를 허용합니다.

방화벽 규칙에는 다음과 같은 특성이 포함됩니다.

IP 범위 35.235.240.0/20에서 들어오는 인그레스 트래픽 이 범위에는 IAP가 TCP 전달에 사용하는 모든 IP 주소가 포함됩니다.
IAP TCP 전달을 사용하여 액세스할 수 있는 모든 포트에 대한 연결(예: SSH의 경우 22 포트)

콘솔

vpc-geo-location 네트워크의 모든 VM 인스턴스에 대한 IAP 액세스를 허용하려면 다음 단계를 수행합니다.

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
방화벽 정책 만들기를 클릭합니다.
정책 구성 섹션의 정책 이름에 fw-policy를 입력합니다.
배포 범위에서 전역을 선택하고 계속을 클릭합니다.
정책에 대한 규칙을 만들려면 규칙 추가 섹션에서 규칙 추가를 클릭합니다.
1. 우선순위에 100을 입력합니다.
2. 트래픽 방향으로 수신을 선택합니다.
3. 일치 시 작업으로 허용을 선택합니다.
4. 로그에서 사용을 선택합니다.
5. 대상 섹션의 대상 유형에서 네트워크의 모든 인스턴스를 선택합니다.
6. 소스 섹션의 IP 범위에 35.235.240.0/20을 입력합니다.
7. 프로토콜 및 포트 섹션에서 지정된 프로토콜 및 포트를 선택합니다.
8. TCP 체크박스를 선택하고 포트에 22를 입력합니다.
9. 만들기를 클릭합니다.
계속을 클릭합니다.
VPC 네트워크를 정책과 연결하려면 VPC 네트워크와 정책 연결 섹션에서 연결을 클릭합니다.
vpc-geo-location 체크박스를 선택하고 연결을 클릭합니다.
계속을 클릭합니다.
만들기를 클릭합니다.

gcloud

vpc-geo-location 네트워크의 모든 VM 인스턴스에 대한 IAP 액세스를 허용하려면 다음 명령어를 실행합니다.

다음 명령어를 실행하여 방화벽 정책을 만듭니다.

gcloud compute network-firewall-policies create fw-policy \
    --global

모든 대상으로 가는 트래픽을 허용하고 로그를 사용 설정하는 방화벽 규칙을 만들려면 다음 명령어를 실행합니다.

gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy \
    --enable-logging

방화벽 정책을 VPC 네트워크와 연결하려면 다음 명령어를 실행합니다.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy \
    --network=vpc-geo-location \
    --name=pol-association-fw-rules \
    --global-firewall-policy

방화벽 규칙 만들기

이 섹션에서는 instance-2-sg VM에서 인그레스 연결을 허용하는 방화벽 규칙을 만듭니다.

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
네트워크 방화벽 정책 섹션에서 fw-policy를 클릭합니다.
규칙 만들기를 클릭합니다.
우선순위에 500을 입력합니다.
트래픽 방향으로 수신을 선택합니다.
일치 시 작업으로 허용을 선택합니다.
로그에서 사용을 선택합니다.
대상 섹션의 대상 유형에서 네트워크의 모든 인스턴스를 선택합니다.
소스 섹션의 IP 범위에 NAT_IP_ADDRESS를 입력합니다.

NAT_IP_ADDRESS를 Cloud NAT에 할당된 IP 주소로 바꿉니다. 자세한 내용은 Cloud Router 및 Cloud NAT 게이트웨이 만들기를 참조하세요.
만들기를 클릭합니다.

gcloud

방화벽 정책을 업데이트하려면 다음 명령어를 실행합니다.

gcloud compute network-firewall-policies rules create 500 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --src-ip-ranges=NAT_IP_ADDRESS \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

NAT_IP_ADDRESS를 Cloud NAT에 할당된 IP 주소로 바꿉니다. 자세한 내용은 Cloud Router 및 Cloud NAT 게이트웨이 만들기를 참조하세요.

Apache 서버 설치

이 섹션에서는 instance-2-sg VM에 Apache 서버를 설치합니다.

콘솔

Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

VM 인스턴스로 이동
instance-2-sg VM의 연결 열에서 SSH를 클릭합니다.
브라우저에서 SSH를 통해 연결 대화상자에서 승인을 클릭하고 연결이 설정될 때까지 기다립니다.
인스턴스에서 패키지 목록을 업데이트하려면 다음 명령어를 실행합니다.
```
sudo apt-get update
```
프로세스가 완료되면 다음 메시지가 표시됩니다.

Reading package lists... Done.
apache2 HTTP Server 패키지를 설치하려면 명령 프롬프트에서 다음 명령어를 실행합니다.
```
sudo apt-get install apache2 php7.0
```
프로세스가 진행되는 동안에 다음 메시지가 표시됩니다.

After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

Y 키를 눌러 확인한 후 Enter 키를 누릅니다.

Apache 웹 서버의 기본 웹페이지를 덮어쓰려면 다음 명령어를 실행합니다.

echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

브라우저에서 SSH를 통해 연결 대화상자를 닫습니다.

gcloud

SSH를 사용하여 instance-2-sg VM에 연결하려면 다음 명령어를 실행합니다.
```
gcloud compute ssh instance-2-sg \
    --zone=asia-southeast1-b \
    --tunnel-through-iap
```
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.

참고: instance-2-sg VM에 대한 SSH 연결이 연결되어 있는 동안에 표시되는 모든 경고 메시지를 무시하세요.
인스턴스에서 패키지 목록을 업데이트하려면 다음 명령어를 실행합니다.
```
sudo apt-get update
```
프로세스가 완료되면 다음 메시지가 표시됩니다.

Reading package lists... Done.
apache2 HTTP Server 패키지를 설치하려면 명령 프롬프트에서 다음 명령어를 실행합니다.
```
sudo apt-get install apache2 php7.0
```
프로세스가 진행되는 동안에 다음 메시지가 표시됩니다.

After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

Y 키를 눌러 확인한 후 Enter 키를 누릅니다.

Apache 웹 서버의 기본 웹페이지를 덮어쓰려면 다음 명령어를 실행합니다.

echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

브라우저에서 SSH를 통해 연결을 닫으려면 exit를 입력합니다.

연결 유효성 검사

instance-2-sg VM에 Apache 서버를 설치한 후 instance-2-sg VM의 외부 IP 주소를 사용하여 instance-2-sg VM에서 instance-1-us VM에 연결합니다.

콘솔

Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

VM 인스턴스로 이동
instance-2-sg VM의 외부 IP 열에서 VM의 외부 IP 주소를 복사합니다.
instance-1-us VM의 연결 열에서 SSH를 클릭합니다.
브라우저에서 SSH를 통해 연결 대화상자에서 승인을 클릭하고 연결이 설정될 때까지 기다립니다.
연결을 확인하려면 다음 명령어를 실행합니다.
```
curl EXTERNAL_IP -m 2
```
EXTERNAL_IP를 instance-2-sg VM의 IP 주소로 바꿉니다.

예상되는 응답 메시지는 다음과 같습니다.

<!doctype html><html><body><h1>Hello World!</h1></body></html>
브라우저에서 SSH를 통해 연결 대화상자를 닫습니다.

gcloud

instance-2-sg VM의 외부 IP 주소를 보려면 다음 명령어를 실행합니다.
```
gcloud compute instances describe instance-2-sg \
    --zone=asia-southeast1-b \
    --format='get(networkInterfaces[0].accessConfigs[0].natIP)'
```
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다. instance-2-sg VM의 외부 IP 주소를 기록해 둡니다.
SSH를 사용하여 instance-1-us VM에 연결하려면 다음 명령어를 실행합니다.
```
gcloud compute ssh instance-1-us \
    --zone=us-central1-a \
    --tunnel-through-iap
```
참고: instance-1-us VM에 대한 SSH 연결이 연결되어 있는 동안에 표시되는 모든 경고 메시지를 무시하세요.
연결을 확인하려면 다음 명령어를 실행합니다.
```
  curl EXTERNAL_IP -m 2
```
EXTERNAL_IP를 instance-2-sg VM의 IP 주소로 바꿉니다.

예상되는 응답 메시지는 다음과 같습니다.

<!doctype html><html><body><h1>Hello World!</h1></body></html>
브라우저에서 SSH를 통해 연결을 닫으려면 exit를 입력합니다.

특정 위치정보로 이동하는 트래픽을 차단하는 방화벽 규칙 추가

이 섹션에서는 이탈리아, 폴란드, 싱가포르로 이동하는 이그레스 트래픽이 차단되도록 VPC vpc-geo-location의 방화벽 규칙을 추가합니다.

콘솔

전역 네트워크 방화벽 정책 만들기 섹션에서 만든 fw-policy에 새 규칙을 추가하려면 다음 단계를 수행합니다.

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
네트워크 방화벽 정책 섹션에서 fw-policy를 클릭합니다.
규칙 만들기를 클릭합니다.
우선순위에 200을 입력합니다.
트래픽 방향에 대해 이그레스를 선택합니다.
일치 시 작업에 거부를 선택합니다.
로그에서 사용을 선택합니다.
대상 섹션의 위치정보에 싱가포르(SG), 폴란드(PL), 이탈리아(IT)를 선택합니다.
확인을 클릭합니다.
만들기를 클릭합니다.

gcloud

전역 네트워크 방화벽 정책 만들기 섹션에서 만든 fw-policy에 새 규칙을 추가하려면 다음 명령어를 실행합니다.

gcloud compute network-firewall-policies rules create 200 \
    --firewall-policy=fw-policy \
    --direction=EGRESS \
    --action=DENY \
    --dest-region-codes=SG,PL,IT \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

위치정보 방화벽 규칙 테스트

콘솔

싱가포르(SG), 폴란드(PL), 이탈리아(IT)로 이동하는 이그레스 트래픽을 차단하는 규칙을 추가한 후에 다음 단계를 수행하여 규칙을 테스트합니다.

Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

VM 인스턴스로 이동
instance-2-sg VM의 외부 IP 열에서 VM의 외부 IP 주소를 복사합니다.
instance-1-us VM의 연결 열에서 SSH를 클릭합니다.
브라우저에서 SSH를 통해 연결 대화상자에서 승인을 클릭하고 연결이 설정될 때까지 기다립니다.
instance-2-sg VM으로 이동하는 이그레스 트래픽이 차단되었는지 확인하려면 다음 명령어를 실행합니다.
```
curl EXTERNAL_IP -m 2
```
EXTERNAL_IP를 instance-2-sg VM의 IP 주소로 바꿉니다.

미국 VM에서 싱가포르 VM으로 이동하는 외부 트래픽을 거부하는 방화벽 규칙을 만들었으므로 Connection timed out 메시지가 표시됩니다.
폴란드로 이동하는 이그레스 트래픽이 차단되었는지 확인하려면 다음 명령어를 실행합니다.
```
  curl  `https://www.gov.pl` -m 2
```
폴란드 웹사이트로 이동하는 외부 트래픽을 거부하는 방화벽 규칙을 만들었으므로 Connection timed out 메시지가 표시됩니다.

참고: 도메인 이름이 위치정보 폴란드(PL)와 연결된 IP 주소로 확인되는 모든 웹사이트를 사용할 수 있습니다.
이탈리아로 이동하는 이그레스 트래픽이 차단되었는지 확인하려면 다음 명령어를 실행합니다.
```
  curl  `https://www.esteri.it/it/` -m 2
```
이탈리아 웹사이트로 이동하는 외부 트래픽을 거부하는 방화벽 규칙을 만들었으므로 Connection timed out 메시지가 표시됩니다.

참고: 도메인 이름이 위치정보 이탈리아(IT)와 연결된 IP 주소로 확인되는 모든 웹사이트를 사용할 수 있습니다.
브라우저에서 SSH를 통해 연결 대화상자를 닫습니다.

gcloud

싱가포르(SG), 폴란드(PL), 이탈리아(IT)로 이동하는 이그레스 트래픽을 차단하는 규칙을 추가한 후에 다음 명령어를 실행하여 규칙을 테스트합니다.

instance-2-sg VM의 외부 IP 주소를 보려면 다음 명령어를 실행합니다.
```
gcloud compute instances describe instance-2-sg \
   --format='get(networkInterfaces[0].accessConfigs[0].natIP)'
```
메시지가 표시되면 Y 키를 눌러 확인한 후 Enter 키를 누릅니다. instance-2-sg VM의 외부 IP 주소를 기록해 둡니다.
SSH를 사용하여 instance-1-us VM에 연결하려면 다음 명령어를 실행합니다.
```
gcloud compute ssh instance-1-us \
   --zone=us-central1-a \
   --tunnel-through-iap
```
참고: instance-1-us VM에 대한 SSH 연결이 연결되어 있는 동안에 표시되는 모든 경고 메시지를 무시하세요.
싱가포르로 이동하는 이그레스 트래픽이 차단되었는지 확인하려면 다음 명령어를 실행합니다.
```
curl EXTERNAL_IP -m 2
```
EXTERNAL_IP를 instance-2-sg VM의 IP 주소로 바꿉니다.

미국 VM에서 싱가포르 VM으로 이동하는 외부 트래픽을 거부하는 방화벽 규칙을 만들었으므로 Connection timed out 메시지가 표시됩니다.
폴란드로 이동하는 이그레스 트래픽이 차단되었는지 확인하려면 다음 명령어를 실행합니다.
```
curl https://www.gov.pl -m 2
```
폴란드 웹사이트에서 이동하는 외부 트래픽을 거부하는 방화벽 규칙을 만들었으므로 Connection timed out 메시지가 표시됩니다.

참고: 도메인 이름이 위치정보 폴란드(PL)와 연결된 IP 주소로 확인되는 모든 웹사이트를 사용할 수 있습니다.
이탈리아로 이동하는 이그레스 트래픽이 차단되었는지 확인하려면 다음 명령어를 실행합니다.
```
curl  https://www.esteri.it/it/ -m 2
```
이탈리아 웹사이트로 이동하는 외부 트래픽을 거부하는 방화벽 규칙을 만들었으므로 Connection timed out 메시지가 표시됩니다.

참고: 도메인 이름이 위치정보 이탈리아(IT)와 연결된 IP 주소로 확인되는 모든 웹사이트를 사용할 수 있습니다.
브라우저에서 SSH를 통해 연결 대화상자를 닫으려면 exit를 입력합니다.

로그 보기

로그에 액세스하여 방화벽 규칙이 이그레스 트래픽에 적용되었는지 확인할 수 있습니다. 로그 세부정보를 보려면 다음 단계를 수행합니다.

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
네트워크 방화벽 정책 섹션에서 fw-policy 이름을 클릭합니다.
열 표시 옵션을 클릭합니다.
표시된 열 대화상자에서 적중 횟수를 선택한 후 확인을 클릭합니다.
적중 횟수 열에서 전역 네트워크 방화벽 정책 만들기 중에 만든 규칙의 수를 선택합니다. 로그 탐색기 페이지가 열립니다.
이그레스 트래픽에 적용된 방화벽 규칙을 보려면 개별 로그를 펼칩니다. 연결, 처리, 원격 위치 세부정보를 볼 수 있습니다.

삭제

이 튜토리얼에서 사용된 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 리소스가 포함된 프로젝트를 삭제하거나 프로젝트는 유지하되 개별 리소스를 삭제하세요.

이 섹션에서는 이 튜토리얼에서 만든 리소스를 삭제합니다.

방화벽 정책 삭제

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
네트워크 방화벽 정책 섹션에서 fw-policy 이름을 클릭합니다.
연결 탭을 클릭합니다.
vpc-geo-location 체크박스를 선택하고 연결 삭제를 클릭합니다.
방화벽 정책 연결 삭제 대화상자에서 삭제를 클릭합니다.
fw-policy 제목 옆에 있는 삭제를 클릭합니다.
방화벽 정책 삭제 대화상자에서 삭제를 클릭합니다.

gcloud

방화벽 정책과 VPC 네트워크 사이의 연결을 삭제합니다.
```
gcloud compute network-firewall-policies associations delete \
  --name=pol-association-fw-rules \
  --firewall-policy=fw-policy \
  --global-firewall-policy
```
참고: Google Cloud 콘솔을 통해 방화벽 정책과 VPC 네트워크 간의 연결을 설정한 경우 gcloud CLI 명령어를 사용하여 연결을 삭제하지 마세요. 연결을 만든 방법이 기억나지 않거나 명령어를 실행할 때 The network firewall policy does not have an association with pol-association-fw-rules. 오류가 발생하면 Google Cloud 콘솔을 사용하여 연결을 삭제하세요.
방화벽 정책을 삭제합니다.
```
gcloud compute network-firewall-policies delete fw-policy \
    --global
```
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.

VM 삭제

콘솔

Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

VM 인스턴스로 이동
instance-1-us 및 instance-2-sg VM의 체크박스를 선택합니다.
삭제를 클릭합니다.
인스턴스 2개를 삭제하시겠어요? 대화상자에서 삭제를 클릭합니다.

gcloud

instance-1-us VM을 삭제하려면 다음 명령어를 실행합니다.
```
gcloud compute instances delete instance-1-us \
    --zone=us-central1-a
```
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.
instance-2-sg VM을 삭제하려면 다음 명령어를 실행합니다.
```
gcloud compute instances delete instance-2-sg \
    --zone=asia-southeast1-b
```
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.

Cloud NAT 게이트웨이 및 Cloud Router 삭제

콘솔

Google Cloud 콘솔에서 Cloud Router 페이지로 이동합니다.

Cloud Router로 이동
router-fw-rules 체크박스를 선택합니다.
삭제를 클릭합니다.
router-fw-rules 삭제 대화상자에서 삭제를 클릭합니다.

Cloud Router를 삭제하면 연결된 Cloud NAT 게이트웨이도 삭제됩니다.

gcloud

router-fw-rules Cloud Router를 삭제하려면 다음 명령어를 실행합니다.

gcloud compute routers delete router-fw-rules \
    --region=us-central1

메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.

Cloud Router를 삭제하면 연결된 Cloud NAT 게이트웨이도 삭제됩니다.

VPC 네트워크 및 해당 서브넷 삭제

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
이름 열에서 vpc-geo-location를 클릭합니다.
VPC 네트워크 삭제를 클릭합니다.
네트워크 삭제 대화상자에서 삭제를 클릭합니다.

VPC를 삭제하면 해당 서브넷도 삭제됩니다.

gcloud

vpc-geo-location VPC 네트워크의 subnet-1-us 서브넷을 삭제하려면 다음 명령어를 실행합니다.
```
gcloud compute networks subnets delete subnet-1-us \
    --region=us-central1
```
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.
vpc-geo-location VPC 네트워크의 subnet-2-sg 서브넷을 삭제하려면 다음 명령어를 실행합니다.
```
gcloud compute networks subnets delete subnet-2-sg \
    --region=asia-southeast1
```
메시지가 표시되면 Y를 눌러 확인하고 Enter를 누릅니다.
vpc-geo-location VPC 네트워크를 삭제하려면 다음 명령어를 실행합니다.
```
gcloud compute networks delete vpc-geo-location
```
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.

다음 단계

방화벽 정책에 대한 개념 정보는 방화벽 정책을 참조하세요.
방화벽 정책 규칙에 대한 개념 정보는 방화벽 정책 규칙을 참조하세요.
VPC 방화벽 규칙을 생성, 업데이트, 모니터링, 삭제하려면 VPC 방화벽 규칙 사용을 참조하세요.
비용을 확인하려면 Cloud NGFW 가격 책정을 참조하세요.

특정 위치정보로 이동하는 이그레스 연결이 거부되도록 전역 네트워크 방화벽 정책 구성

목표

시작하기 전에

서브넷이 있는 커스텀 VPC 네트워크 만들기

콘솔

gcloud

VM 만들기

us-central1 리전에 VM 만들기

콘솔

gcloud

asia-southeast1 리전에 VM 만들기

콘솔

gcloud

Cloud Router 및 Cloud NAT 게이트웨이 만들기

콘솔

gcloud

IAP를 사용 설정하도록 전역 네트워크 방화벽 정책 만들기

콘솔

gcloud

방화벽 규칙 만들기

콘솔

gcloud

Apache 서버 설치

콘솔

gcloud

연결 유효성 검사

콘솔

gcloud

특정 위치정보로 이동하는 트래픽을 차단하는 방화벽 규칙 추가

콘솔

gcloud

위치정보 방화벽 규칙 테스트

콘솔

gcloud

로그 보기

삭제

방화벽 정책 삭제

콘솔

gcloud

VM 삭제

콘솔

gcloud

Cloud NAT 게이트웨이 및 Cloud Router 삭제

콘솔

gcloud

VPC 네트워크 및 해당 서브넷 삭제

콘솔

gcloud

다음 단계

`us-central1` 리전에 VM 만들기

`asia-southeast1` 리전에 VM 만들기