계층식 방화벽 정책 사용

이 페이지에서는 사용자가 계층적 방화벽 정책 개요에 설명된 개념에 익숙하다고 가정합니다. 계층식 방화벽 정책 구현 예시를 보려면 계층식 방화벽 정책 예시를 참조하세요.

제한사항

  • 계층적 방화벽 정책 규칙은 IP 범위만 사용하여 인그레스 규칙의 소스를 정의할 수 있습니다. 소스 태그 및 소스 서비스 계정은 VPC 방화벽 규칙에서만 지원됩니다.
  • 계층적 방화벽 정책 규칙은 대상을 정의하는 네트워크 태그 사용을 지원하지 않습니다. 대신 대상 VPC 네트워크 또는 대상 서비스 계정을 사용해야 합니다.
  • 방화벽 정책은 폴더 및 조직 수준에서 적용될 수 있지만 VPC 네트워크 수준에서는 적용되지 않습니다. 일반 VPC 방화벽 규칙은 VPC 네트워크에서 지원됩니다.
  • 폴더 아래의 가상 머신(VM) 인스턴스는 VM 상위의 노드 계층 전체에서 규칙을 상속할 수 있지만 하나의 방화벽 정책만 노드(폴더 또는 조직)에 연결될 수 있습니다.
  • 방화벽 규칙 로깅allowdeny 규칙에서 지원되지만 goto_next 규칙에서는 지원되지 않습니다.
  • IPv6 홉별 프로토콜은 방화벽 규칙에서 지원되지 않습니다.

방화벽 정책 작업

방화벽 정책 만들기

조직 계층 구조의 모든 노드, 조직, 폴더에서 정책을 만들 수 있습니다. 정책을 만든 후 해당 정책을 조직의 모든 노드에 연결할 수 있습니다. 연결된 후에는 계층 구조에서 연결된 노드 아래에 있는 VM의 정책 규칙이 활성화됩니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 조직 내의 폴더를 선택합니다.

  3. 방화벽 정책 만들기를 클릭합니다.

  4. 정책 이름을 입력합니다.

  5. 정책에 대한 규칙을 만들려면 계속을 클릭한 다음 규칙 추가를 클릭합니다.

    자세한 내용은 방화벽 규칙 만들기를 참조하세요.

  6. 정책을 노드와 연결하려면 계속을 클릭한 다음 연결을 클릭합니다.

    자세한 내용은 정책을 조직 또는 폴더와 연결을 참조하세요.

  7. 만들기를 클릭합니다.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

다음 사항을 지정합니다.

  • ORG_ID: 조직 ID
    조직 수준에서 정책을 만드는 경우 이 ID를 지정합니다. 이 ID는 정책이 적용되는 위치만 나타내며 정책을 해당 조직 노드와 자동으로 연결하지 않습니다.
  • FOLDER_ID: 폴더의 ID
    특정 폴더에 정책을 만드는 경우 이 ID를 지정합니다. 이 ID는 정책이 적용되는 위치만 나타내며 정책을 해당 폴더와 자동으로 연결하지 않습니다.
  • SHORT_NAME: 정책 이름
    Google Cloud CLI를 사용하여 만든 정책에는 시스템 생성 이름과 개발자가 제공한 닉네임, 이렇게 두 가지가 있습니다. Google Cloud CLI를 사용하여 기존 정책을 업데이트할 때 시스템 생성 이름 또는 닉네임과 조직 ID를 제공할 수 있습니다. API를 사용하여 정책을 업데이트하는 경우 시스템 생성 이름을 제공해야 합니다.

방화벽 규칙 만들기

계층적 방화벽 정책 규칙은 계층적 방화벽 정책에 만들어야 합니다. 이 규칙은 포함된 정책을 노드에 연결할 때까지 활성화되지 않습니다.

각 계층식 방화벽 정책 규칙에는 IPv4 또는 IPv6 범위 중 하나만 포함될 수 있습니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책 이름을 클릭합니다.

  4. 규칙 추가를 클릭합니다.

  5. 규칙 필드를 채웁니다.

    1. 우선순위: 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0는 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 삽입을 허용하는 규칙 우선순위 번호를 지정하는 것이 좋습니다(예: 100, 200, 300).
    2. 로그 컬렉션을 사용 또는 사용 중지로 설정합니다.
    3. 트래픽 방향에서 이 규칙이 인그레스인지 또는 이그레스인지 지정합니다.
    4. 일치 시 작업에서 규칙과 일치하는 연결을 허용(허용) 또는 거부(거부)할지, 또는 연결 평가를 계층 구조의 다음 하위 방화벽 규칙으로 전달(다음으로 이동)할지 지정합니다.
    5. 선택사항: 대상 네트워크 필드에 특정 네트워크만 지정하여 해당 네트워크로 규칙을 제한할 수 있습니다.
    6. 선택사항: 대상 서비스 계정 필드에서 계정을 지정하여 특정 서비스 계정에 대한 액세스 권한으로 실행하는 VM으로 규칙을 제한할 수 있습니다.
    7. 인그레스 규칙을 만드는 경우 이 규칙을 적용할 소스 IP 범위를 지정합니다. 이그레스 규칙을 만드는 경우 이 규칙을 적용할 대상 IP 범위를 지정합니다. 두 경우 모두 모든 IPv4 주소에 0.0.0.0/0을 지정하거나 모든 IPv6 주소에 ::/0을 지정합니다. 지정된 규칙에 IPv4 또는 IPv6 주소 범위 중 하나만 포함할 수 있습니다.
    8. 프로토콜 및 포트에서 규칙이 모든 프로토콜 및 모든 대상 포트에 적용되도록 지정하거나 규칙을 적용할 특정 프로토콜 및 대상 포트를 지정합니다.

      IPv4 ICMP를 지정하려면 icmp 또는 프로토콜 번호 1을 사용합니다. IPv6 ICMP를 지정하려면 프로토콜 번호 58을 사용합니다. 프로토콜에 대한 자세한 내용은 프로토콜 및 포트를 참조하세요.

    9. 만들기를 클릭합니다.

  6. 규칙 추가를 클릭하여 다른 규칙을 추가합니다. 계속 > 연결을 클릭하여 정책을 노드와 연결하거나 만들기를 클릭하여 정책을 만듭니다.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    --action ACTION \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources=NETWORKS] \
    [--target-service-accounts=SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

다음 사항을 지정합니다.

  • PRIORITY: 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0가 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 삽입을 허용하는 규칙 우선순위 번호를 지정하는 것이 좋습니다(예: 100, 200, 300).
  • ORG_ID: 조직의 ID
  • POLICY_NAME: 닉네임 또는 시스템에서 생성된 정책 이름
  • DIRECTION: 규칙이 ingress 또는 egress 규칙인지를 나타내며 기본값은 ingress입니다.
    • DIRECTIONingress인 경우 --src-ip-ranges 포함
    • DIRECTIONegress인 경우 --dest-ip-ranges 포함
  • IP_RANGES: 쉼표로 구분된 CIDR 형식의 IP 범위 목록(모든 IPv4 범위 또는 모든 IPv6 범위)입니다. 예를 들면 다음과 같습니다.
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
  • ACTION: 다음 작업 중 하나입니다.
    • allow: 규칙과 일치하는 연결을 허용합니다.
    • deny: 규칙과 일치하는 연결을 거부합니다.
    • goto_next: 계층 구조의 다음 수준(폴더 또는 네트워크)으로 연결 평가를 전달합니다.
  • PROTOCOL_PORT: 쉼표로 구분된 프로토콜 이름 또는 번호(tcp,17), 프로토콜 및 대상 포트(tcp:80), 프로토콜 및 대상 포트 범위(tcp:5000-6000)의 목록입니다.
    프로토콜 없이 포트나 포트 범위를 지정할 수 없습니다. ICMP의 경우 포트 또는 포트 범위를 지정할 수 없습니다. 예를 들면 다음과 같습니다. --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
    IPv4 ICMP를 지정하려면 icmp 또는 프로토콜 번호 1을 사용합니다. IPv6 ICMP를 지정하려면 프로토콜 번호 58을 사용합니다. 자세한 내용은 프로토콜 및 포트를 참조하세요.
  • NETWORKS: 이 규칙이 적용되는 네트워크를 쉼표로 구분한 목록입니다. 생략하면 노드 아래의 모든 네트워크에 규칙이 적용됩니다. 자세한 내용은 대상을 참조하세요.
  • SERVICE_ACCOUNTS: 쉼표로 구분된 서비스 계정 목록입니다. 이 규칙은 지정된 서비스 계정에 대한 액세스 권한으로 실행 중인 VM에만 적용됩니다. 자세한 내용은 대상을 참조하세요.
  • --enable-logging--no-enable-logging: 지정된 규칙에 방화벽 규칙 로깅을 사용 설정하거나 중지합니다.
  • --disabled: 방화벽 규칙이 존재하지만 연결을 처리할 때 고려하지 않음을 나타냅니다. 이 플래그를 생략하면 규칙이 사용 설정됩니다. 또는 --no-disabled를 지정할 수 있습니다.

정책을 조직 또는 폴더와 연결

정책을 노드와 연결하여 계층 구조의 노드 아래에 있는 모든 VM의 정책 규칙을 활성화합니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

  4. 연결 대상 탭을 클릭합니다.

  5. 연결을 클릭합니다.

  6. 조직 루트를 선택하거나 조직 내의 폴더를 선택합니다.

  7. 연결을 클릭합니다.

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

다음 사항을 지정합니다.

  • POLICY_NAME: 닉네임 또는 시스템에서 생성된 정책 이름
  • ORG_ID: 조직의 ID
  • FOLDER_ID: 정책을 폴더와 연결하는 경우 여기에서 지정하고, 정책을 조직 수준에 연결하는 경우에는 생략합니다.
  • ASSOCIATION_NAME: 연결의 이름입니다(선택사항). 지정하지 않으면 이름이 '조직 ORG_ID' 또는 '폴더 FOLDER_ID'로 설정됩니다.
  • --replace-association-on-target
    기본적으로 연결이 있는 조직 또는 폴더 노드에 연결 삽입을 시도하면 메서드가 실패합니다. 이 플래그를 지정하면 새 연결이 생성될 때 기존 연결이 삭제됩니다. 이렇게 하면 전환 중에 노드가 정책 없이 유지되는 것을 막을 수 있습니다.

노드 간 정책 이동

정책을 이동하면 정책을 소유한 노드가 변경됩니다. 정책을 이동하려면 이전 노드와 새 노드에 대한 move 권한이 있어야 합니다.

정책을 이동해도 기존 정책 연결이나 기존 규칙의 평가에 영향을 미치지 않지만 이동 후 정책을 수정하거나 연결할 권한이 있는 사용자에게 영향을 미칠 수 있습니다.

Console

이 절차에는 Google Cloud CLI를 사용합니다.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

다음 사항을 지정합니다.

  • POLICY_NAME: 이동할 정책의 닉네임 또는 시스템 생성 이름
  • ORG_ID: 조직 ID. 정책을 조직 노드로 이동하는 경우 이 ID를 지정하되 폴더는 지정하지 않습니다.
  • FOLDER_ID: 정책을 폴더와 연결하는 경우 여기에서 지정하고, 정책을 조직 노드에 연결하는 경우에는 생략합니다.

정책 설명 업데이트

업데이트할 수 있는 유일한 정책 필드는 설명 필드입니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 수정을 클릭합니다.

  4. 설명을 수정합니다.

  5. 저장을 클릭합니다.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

정책 나열

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

    이 노드와 연결되었거나 노드에서 상속한 방화벽 정책 섹션에는 리소스 계층 구조에서 이 노드와 연결된 정책이 표시됩니다.

    이 노드에 있는 방화벽 정책 섹션에는 리소스 계층 구조에서 이 노드가 소유한 정책이 나열됩니다. 이러한 정책은 이 노드와 연결되지 않을 수 있지만 이 노드 또는 다른 노드와 연결하는 데 사용할 수 있습니다.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

정책 설명

모든 방화벽 규칙을 포함한 정책의 모든 세부정보를 볼 수 있습니다. 또한 정책의 모든 규칙에 있는 여러 속성을 볼 수 있습니다. 이러한 속성은 정책별 제한에 반영됩니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

정책 삭제

정책을 삭제하려면 먼저 조직 방화벽 정책의 모든 연결을 삭제해야 합니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 삭제할 정책을 클릭합니다.

  4. 연결 대상 탭을 클릭합니다.

  5. 모든 연결을 선택합니다.

  6. 삭제를 클릭합니다.

  7. 연결을 모두 삭제한 후 삭제를 클릭합니다.

gcloud

  1. 방화벽 정책과 연결된 노드를 모두 나열합니다.

    gcloud compute firewall-policies describe POLICY_NAME \
        --organization ORG_ID
    
  2. 개별 연결을 삭제합니다. 연결을 삭제하려면 연결된 노드 또는 해당 노드의 상위 항목에 대한 compute.orgSecurityResourceAdmin 역할이 있어야 합니다.

    gcloud compute firewall-policies associations delete NODE_NAME \
        --organization ORG_ID \
        --firewall-policy POLICY_NAME
    
  3. 정책을 삭제합니다.

    gcloud compute firewall-policies delete POLICY_NAME \
        --organization ORG_ID
    

노드의 연결 나열

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 연결된 정책과 상속된 정책은 이 노드와 연결되었거나 노드에서 상속한 방화벽 정책 아래에 나열됩니다.

gcloud

gcloud compute firewall-policies associations list \
  [--organization ORG_ID | --folder FOLDER_ID]

정책의 연결 나열

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

  4. 연결 탭을 클릭합니다.

  5. 연결 목록이 표에 표시됩니다.

gcloud

gcloud compute firewall-policies describe POLICY_ID

연결 삭제

조직 또는 폴더에서 방화벽 정책 시행을 중지하려면 연결을 삭제합니다.

그러나 한 방화벽 정책을 다른 방화벽 정책으로 교체하려는 경우 기존 연결을 먼저 삭제할 필요는 없습니다. 이렇게 하면 일정 기간 동안 어떤 정책도 시행되지 않게 됩니다. 대신 새 정책을 연결할 때 기존 정책을 바꿉니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

  4. 연결 탭을 클릭합니다.

  5. 삭제하려는 연결을 선택합니다.

  6. 삭제를 클릭합니다.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

규칙 작업

기존 방화벽 정책에서 규칙 만들기

방화벽 규칙 만들기를 참조하세요.

정책의 모든 규칙 나열

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다. 규칙이 방화벽 규칙 탭에 나열됩니다.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

규칙 설명

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

  4. 규칙의 우선순위를 클릭합니다.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

다음 사항을 지정합니다.

  • PRIORITY: 보려는 규칙의 우선순위입니다. 각 규칙에는 고유한 우선순위가 있으므로 이 설정은 규칙을 고유하게 식별합니다.
  • ORG_ID: 조직의 ID
  • POLICY_NAME: 규칙이 포함된 정책의 닉네임 또는 시스템 생성 이름

규칙 업데이트

필드 설명은 방화벽 규칙 만들기를 참조하세요.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

  4. 규칙의 우선순위를 클릭합니다.

  5. 수정을 클릭합니다.

  6. 변경하려는 필드를 수정합니다.

  7. 저장을 클릭합니다.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

정책 간 규칙 클론

대상 정책에서 모든 규칙을 삭제하고 소스 정책의 규칙으로 바꿉니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 규칙을 복사하려는 정책을 클릭합니다.

  4. 화면 상단의 클론을 클릭합니다.

  5. 대상 정책의 이름을 입력합니다.

  6. 새 정책을 즉시 연결하려면 계속 > 연결을 클릭합니다.

  7. 클론을 클릭합니다.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

다음 사항을 지정합니다.

  • POLICY_NAME: 복사된 규칙을 받을 정책
  • ORG_ID: 조직의 ID
  • SOURCE_POLICY: 규칙을 복사할 정책. 리소스의 URL이어야 합니다.

정책에서 규칙 삭제

정책에서 규칙을 삭제하면 규칙을 상속하는 모든 VM에서 규칙이 삭제됩니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

  4. 삭제하려는 규칙을 선택합니다.

  5. 삭제를 클릭합니다.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

다음 사항을 지정합니다.

  • PRIORITY: 정책에서 삭제하려는 규칙의 우선순위
  • ORG_ID: 조직의 ID
  • POLICY_NAME: 규칙이 포함된 정책

네트워크에 유효한 방화벽 규칙 가져오기

지정된 VPC 네트워크에 적용되는 계층적 방화벽 정책 규칙과 VPC 방화벽 규칙을 모두 표시합니다.

Console

  1. Google Cloud Console에서 VPC 네트워크 페이지로 이동합니다.

    VPC 네트워크 페이지로 이동

  2. 방화벽 정책 규칙을 보려는 네트워크를 클릭합니다.

  3. 방화벽 정책을 클릭합니다.

  4. 각 방화벽 정책을 펼쳐서 이 네트워크에 적용되는 규칙을 확인합니다.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

다음 사항을 지정합니다.

  • NETWORK_NAME: 유효한 규칙을 가져올 네트워크

방화벽 페이지에서 네트워크의 유효한 방화벽 규칙을 볼 수도 있습니다.

Console

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽 페이지로 이동

  2. 방화벽 정책은 이 프로젝트에서 상속된 방화벽 정책 섹션에 나열됩니다.

  3. 각 방화벽 정책을 클릭하여 이 네트워크에 적용되는 규칙을 확인합니다.

VM 인터페이스에 유효한 방화벽 규칙 가져오기

지정된 Compute Engine VM 인터페이스에 적용되는 계층적 방화벽 정책 규칙과 VPC 방화벽 규칙을 모두 표시합니다.

Console

  1. Google Cloud Console에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스 페이지로 이동

  2. 프로젝트 선택기 풀다운 메뉴에서 VM이 포함된 프로젝트를 선택합니다.

  3. VM을 클릭합니다.

  4. 네트워크 인터페이스에서 인터페이스를 클릭합니다.

  5. 유효한 방화벽 규칙이 방화벽 및 경로 세부정보 아래에 표시됩니다.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE \
    [--zone ZONE]

다음 사항을 지정합니다.

  • INSTANCE_NAME: 유효한 규칙을 가져올 VM으로, 인터페이스를 지정하지 않으면 기본 인터페이스(nic0)의 규칙을 반환합니다.
  • INTERFACE: 유효한 규칙을 가져올 VM 인터페이스이며 기본값은 nic0입니다.
  • ZONE: VM의 영역이며 원하는 영역이 이미 기본값으로 설정되어 있으면 선택사항입니다.

문제 해결

이 섹션에는 발생할 수 있는 오류 메시지에 대한 설명이 포함되어 있습니다.

FirewallPolicy는 이름을 지정할 수 없습니다. 하나가 제공됩니다.

정책 이름을 지정할 수 없습니다. 계층식 방화벽 정책 '이름'은 정책이 생성될 때 Google Cloud에서 생성된 숫자 ID입니다. 그러나 여러 컨텍스트에서 별칭 역할을 하는 친숙한 닉네임을 지정할 수 있습니다.

FirewallPolicy는 생성 시 연결을 지정할 수 없습니다.

연결은 계층식 방화벽 정책이 생성된 후에만 만들 수 있습니다.

방화벽 정책을 다른 조직으로 이동할 수 없습니다.

계층식 방화벽 정책을 이동하려면 동일한 조직 내에 있어야 합니다.

해당 연결이 이미 연결되어 있습니다. 기존 연결을 교체하려면 기존 연결을 true로 교체하는 옵션을 설정하세요.

노드가 이미 계층식 방화벽 정책에 연결된 경우 기존 연결을 교체하는 옵션이 true로 설정되어 있지 않으면 연결 작업이 실패합니다.

우선순위가 같은 규칙을 가질 수 없습니다.

규칙의 우선순위는 계층식 방화벽 정책 내에서 고유해야 합니다.

방화벽 정책 규칙에 방향을 지정해야 합니다.

REST 요청을 직접 전송하여 계층식 방화벽 정책 규칙을 만들 때 규칙 방향을 지정해야 합니다. Google Cloud CLI를 사용하고 방향을 지정하지 않으면 기본값이 INGRESS로 설정됩니다.

goto_next 규칙에 enable_logging을 지정할 수 없습니다.

goto_next 작업은 다른 방화벽 정책의 평가 순서를 나타내는 데 사용되고 ALLOW 또는 DENY의 터미널 작업이 아니므로 방화벽 로깅은 goto_next 작업이 포함된 방화벽 규칙에 허용되지 않습니다.

방화벽 정책 규칙에 IP 프로토콜을 지정해야 합니다.

방화벽 정책 규칙의 DestinationPort 구성은 TCP, UDP, ICMP와 같은 프로토콜 필드를 설정해야 합니다.

이그레스 방향의 소스 범위를 지정하지 않아야 합니다.

이그레스 규칙은 대상 IP 범위만 포함할 수 있습니다.

이그레스 방향의 대상 범위를 지정해야 합니다.

이그레스 규칙은 규칙에 대상 IP 범위를 지정해야 합니다.

인그레스 방향의 대상 범위를 지정하지 않아야 합니다.

인그레스 규칙은 소스 IP 범위만 포함할 수 있습니다.

인그레스 방향의 소스 범위를 지정해야 합니다.

인그레스 규칙은 소스 IP 범위를 지정해야 합니다. 계층식 방화벽 정책에는 소스 태그 및 소스 서비스 계정이 지원되지 않습니다.

방화벽 정책 규칙 문제 해결에 대한 자세한 내용은 VPC 방화벽 규칙 문제 해결을 참조하세요.

다음 단계