컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

전역 네트워크 방화벽 정책

전역 네트워크 방화벽 정책을 사용하면 모든 방화벽 규칙을 단일 정책 객체로 그룹화하여 일괄 업데이트할 수 있습니다. 네트워크 방화벽 정책을 VPC 네트워크에 할당할 수 있습니다. 이러한 정책에는 연결을 명시적으로 거부하거나 허용할 수 있는 규칙이 포함됩니다.

사양

  • 전역 네트워크 방화벽 정책은 VPC 수준에서 생성됩니다. 정책을 만들어도 네트워크에 규칙이 자동으로 적용되지는 않습니다.
  • 생성된 정책은 프로젝트의 모든 VPC 네트워크에 적용(연결)할 수 있습니다.
  • 전역 네트워크 방화벽 정책은 방화벽 규칙의 컨테이너입니다. 정책을 VPC 네트워크와 연결하면 모든 규칙이 즉시 적용됩니다.
  • 동일한 전역 네트워크 방화벽 정책을 프로젝트의 여러 VPC 네트워크에 연결할 수 있습니다.
  • 전역 네트워크 방화벽 정책은 방화벽 규칙의 보안 태그를 지원합니다. 자세한 내용은 방화벽에 태그 사용을 참조하세요.

전역 네트워크 방화벽 정책 세부정보

전역 네트워크 방화벽 정책 규칙은 방화벽 규칙의 컨테이너 역할을 하는 방화벽 정책 리소스에 정의되어 있습니다. 방화벽 정책에 정의된 규칙은 정책이 VPC 네트워크와 연결될 때까지 적용되지 않습니다.

하나의 정책이 여러 VPC 네트워크와 연결될 수 있습니다. 정책에서 규칙을 수정하면 해당 규칙 변경사항이 현재 연결된 모든 네트워크에 적용됩니다.

하나의 정책을 여러 네트워크와 연결할 수 있지만, 한 네트워크에는 전역 네트워크 방화벽 정책을 하나만 연결할 수 있습니다. 네트워크 방화벽 정책 규칙과 VPC 방화벽 규칙은 잘 정의된 순서로 평가됩니다. 하지만 방화벽 정책 시행 순서를 맞춤설정할 수 있습니다.

네트워크와 연결되지 않은 방화벽 정책은 연결되지 않은 전역 네트워크 방화벽 정책입니다.

방화벽 정책 규칙과 VPC 방화벽 규칙의 차이점

방화벽 정책 규칙과 VPC 방화벽 규칙의 차이점은 다음과 같습니다.

전역 네트워크 방화벽 정책 규칙 VPC 방화벽 규칙
우선순위 고유 중복 허용됨
서비스 계정 대상 서비스 계정만(소스 서비스 계정 아님)
태그 보안 태그 네트워크 태그
이름 및 설명 정책 이름, 정책, 규칙 설명 규칙 이름 및 설명
일괄 업데이트 예(정책 클론, 수정, 함수 교체) 아니요
재사용 아니요
할당량 속성 수 규칙 수

전역 네트워크 방화벽 정책 규칙 세부정보

전역 네트워크 방화벽 정책에는 보통 일반적인 방화벽 정책 규칙VPC 방화벽 규칙과 동일하게 작동하는 규칙이 포함되어 있지만 다음과 같은 몇 가지 차이점이 있습니다.

  • 대상 보안 태그: 대상 태그가 지정되면 네트워크 방화벽 정책 규칙이 이러한 대상 태그와 연결된 VM에만 적용됩니다. 대상 보안 태그를 지정하지 않으면 네트워크 방화벽 정책 규칙이 VPC 네트워크의 모든 VM에 적용됩니다.
  • 소스 보안 태그: 태그를 일치시켜 동일한 VPC 네트워크 또는 피어링 VPC의 소스 인스턴스를 식별할 수 있습니다.

사전 정의된 규칙

모든 전역 네트워크 방화벽 정책에는 우선순위가 가장 낮은 네 개의 사전 정의된 goto_next 규칙이 있습니다. 이러한 규칙은 정책에서 명시적으로 정의된 규칙과 일치하지 않는 연결에 적용되어 이러한 연결이 하위 수준 정책 또는 네트워크 규칙으로 전달됩니다.

이러한 규칙은 계층식 방화벽 정책 규칙과 동일합니다. 사전 정의된 규칙에 대한 자세한 내용은 사전 정의된 규칙을 참조하세요.

ID 및 액세스 관리(IAM) 역할

IAM 역할은 전역 네트워크 방화벽 정책과 관련하여 다음 작업을 적용합니다.

  • 전역 네트워크 방화벽 정책 만들기
  • 정책을 네트워크에 연결
  • 기존 정책 수정
  • 특정 네트워크 또는 VM에 대한 유효한 방화벽 규칙 보기

다음 표에서는 각 작업에 필요한 역할을 설명합니다.

작업 필수 역할
새 전역 네트워크 방화벽 정책 만들기 정책이 속한 프로젝트에 대한 compute.securityAdmin 역할
정책을 네트워크에 연결 정책이 적용될 프로젝트에 대한 compute.networkAdmin 역할
정책 방화벽 규칙을 추가, 업데이트 또는 삭제하여 정책 수정 정책이 적용될 프로젝트에 대한 compute.securityAdmin 역할
정책 삭제 정책이 적용될 프로젝트에 대한 compute.networkAdmin 역할
VPC 네트워크의 유효한 방화벽 규칙 보기 네트워크의 다음 역할 중 하나입니다.
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.securityReadOnly
compute.viewer
네트워크에서 VM의 유효한 방화벽 규칙 보기 VM의 다음 역할 중 하나입니다.
compute.instanceAdmin
compute.securityAdmin
compute.securityReadOnly
compute.viewer

다음 역할은 전역 네트워크 방화벽 정책과 관련이 있습니다.

역할 이름 설명
compute.securityAdmin 프로젝트 또는 정책 수준에서 부여할 수 있습니다. 프로젝트에 대한 권한이 부여된 사용자는 전역 네트워크 방화벽 정책 및 규칙을 생성, 업데이트, 삭제할 수 있습니다. 정책 수준에서 사용자는 정책 규칙을 업데이트할 수 있지만 정책을 만들거나 삭제할 수는 없습니다. 또한 이 역할에서는 사용자가 정책을 네트워크에 연결할 수 있습니다.
compute.networkAdmin 프로젝트 수준 또는 네트워크 수준에서 부여됩니다. 네트워크에 대한 권한이 부여된 사용자는 전역 네트워크 방화벽 정책 목록을 볼 수 있습니다.
compute.viewer
compute.networkUser
compute.networkViewer
사용자는 네트워크 또는 인스턴스에 적용된 방화벽 규칙을 볼 수 있습니다.
네트워크의 compute.networks.getEffectiveFirewalls 권한과 인스턴스의 compute.instances.getEffectiveFirewalls 권한이 포함됩니다.