Membuat endpoint firewall dan pengaitan endpoint (original) (raw)

Halaman ini menjelaskan cara mengonfigurasi endpoint firewall dan mengaitkannya dengan jaringan Virtual Private Cloud (VPC) menggunakan Google Cloud konsol, Google Cloud CLI, atau Terraform.

Anda membuat endpoint firewall di tingkat zona, lalu mengaitkannya dengan satu atau beberapa jaringan VPC di zona yang sama. Jika pemeriksaan Lapisan 7 diaktifkan dalam kebijakan firewall yang terkait dengan jaringan VPC Anda, traffic yang cocok akan dicegat secara transparan dan diteruskan ke endpoint firewall.

Anda dapat membuat endpoint firewall dengan atau tanpa dukungan jumbo frame. Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihatUkuran paket yang didukung.

Sebelum memulai

Sebelum mengonfigurasi endpoint dan pengaitan firewall, selesaikan hal berikut:

1. Pastikan Anda memiliki jaringan VPCdan subnet.
2. Aktifkan API yang diperlukan:
   • Compute Engine API (Compute Engine API)di projectAnda. Google Cloud
   • Network Security APIdi Google Cloud project yang ingin Anda gunakan untuk penagihan.
   • Certificate Authority Service API di project Google Cloud Anda.
3. Instal gcloud CLI jika Anda ingin menjalankangcloud contoh command line.

Peran dan izin

Untuk mendapatkan izin yang diperlukan guna membuat endpoint firewall, minta administrator untuk memberi Anda peran yang diperlukanIdentity and Access Management (IAM)di organisasi atau project Anda. Untuk mengetahui informasi selengkapnya, lihatMengelola akses.

Untuk memeriksa progres operasi yang tercantum di halaman ini, pastikan bahwa akun pengguna Anda memilikiPengguna Jaringan Compute(roles/compute.networkUser) peran, yang mencakup izin berikut:

• networksecurity.operations.get
• networksecurity.operations.list

Kuota

Untuk melihat kuota endpoint dan pengaitan firewall, lihatKuota dan batas.

Buat endpoint firewall di zona tertentu.

Endpoint tingkat organisasi

Anda dapat membuat endpoint firewall di tingkat organisasi. Endpoint ini hanya mendukung grup profil keamanan tingkat organisasi.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut_atau_ salah satu peran IAM berikut di organisasi Anda.

Izin

• networksecurity.firewallEndpoints.create

Peran

• Admin Jaringan Compute (roles/compute.networkAdmin)
• Admin Endpoint Firewall (roles/networksecurity.firewallEndpointAdmin) yang diberikan di tingkat organisasi

Konsol

1. Di Google Cloud konsol, buka halaman Firewall endpoints.
   Buka Firewall endpoints
2. Di menu pemilih project, pilih organisasi Anda.
3. Klik Create.
4. Di daftar Region, pilih region tempat Anda ingin membuat endpoint firewall.
5. Di daftar Zone, pilih zona tempat Anda ingin membuat endpoint firewall.
6. Masukkan nama di kolom Name.
7. Di daftar Billing project, pilih Google Cloud project yang ingin Anda gunakan untuk menagih endpoint firewall.
8. Klik Continue.
9. Jika Anda ingin endpoint mendukung jumbo frame, centang kotak Enable jumbo frames support ; jika tidak, hapus centang kotak ini.
10. Klik Continue.
11. Jika Anda ingin menambahkan pengaitan endpoint firewall, klik Add endpoint association, jika tidak, lewati langkah ini.
12. Di daftar Project, pilih Google Cloud project tempat Anda ingin membuat pengaitan endpoint firewall.
13. Jika Compute Engine API atau Network Security API tidak diaktifkan untuk the Google Cloud project, klik Enable.
14. Di daftar Network, pilih jaringan yang ingin Anda kaitkan ke endpoint firewall.
15. Di daftar TLS inspection policy, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
16. Untuk menambahkan pengaitan lain, klik Add endpoint association.
17. Klik Create.

gcloud

Untuk membuat endpoint firewall, gunakan gcloud network-security firewall-endpoints createperintah:

gcloud network-security firewall-endpoints create NAME
--organization ORGANIZATION_ID
--zone ZONE
--enable-jumbo-frames
--billing-project BILLING_PROJECT_ID

Ganti kode berikut:

• NAME: nama endpoint firewall.
• ORGANIZATION_ID: organisasi tempat endpoint diaktifkan.
• ZONE: zona tempat endpoint diaktifkan.
• BILLING_PROJECT_ID: project ID yang akan digunakan untuk penagihan endpoint firewall. Google Cloud

Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati flag ini untuk membuat endpoint tanpa dukungan jumbo frame. Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihatUkuran paket yang didukung.

Untuk mengaitkan endpoint firewall ke jaringan VPC, lihatMembuat pengaitan endpoint firewall.

Terraform

Gunakan google_network_security_firewall_endpoint resource Terraform.

resource "google_network_security_firewall_endpoint" "default" { name = "my-firewall-endpoint" parent = "organizations/123456789" location = "us-central1-a" billing_project_id = "my-project-name" enable_jumbo_frames = true }

Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, tetapkan kolom enable_jumbo_frames ke true. Untuk membuat endpoint firewall yang tidak mendukung jumbo frame, tetapkan kolom ini ke false. Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihatUkuran paket yang didukung.

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihatPerintah dasar Terraform.

Endpoint tingkat project

Anda dapat membuat endpoint firewall di tingkat project. Endpoint ini mendukung grup profil keamanan tingkat organisasi dan tingkat project.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut_atau_ salah satu peran IAM berikut di project Anda.

Izin

• networksecurity.firewallEndpoints.create

Peran

• Admin Jaringan Compute (roles/compute.networkAdmin)
• Admin Endpoint Firewall (roles/networksecurity.firewallEndpointAdmin) yang diberikan di tingkat project atau tingkat organisasi

gcloud

Untuk membuat endpoint firewall, gunakan gcloud beta network-security firewall-endpoints createperintah:

gcloud beta network-security firewall-endpoints create NAME
--project PROJECT_ID
--zone ZONE
--enable-jumbo-frames

Ganti kode berikut:

• NAME: nama endpoint firewall.
• PROJECT_ID: project tempat endpoint diaktifkan.
• ZONE: zona tempat endpoint diaktifkan.

Untuk membuat endpoint firewall yang mendukung jumbo frame hingga ukuran 8.500 byte, gunakan flag --enable-jumbo-frames opsional. Lewati flag ini untuk membuat endpoint tanpa dukungan jumbo frame. Untuk mengetahui informasi tentang ukuran paket yang didukung oleh endpoint firewall, lihatUkuran paket yang didukung.

Untuk mengaitkan endpoint firewall ke jaringan VPC, lihatMembuat pengaitan endpoint firewall.

Membuat pengaitan endpoint firewall

Pengaitan endpoint firewall menghubungkan endpoint firewall ke jaringan VPC di zona tertentu. Pengaitan ini memastikan bahwa traffic yang cocok dengan aturan pencegatan untuk jaringan terkait di zona tersebut diperiksa oleh endpoint firewall.

Pastikan Anda memiliki endpoint firewallsebelum membuat pengaitan.

Persyaratan pengaitan

Saat mengonfigurasi pengaitan endpoint, ikuti persyaratan berikut:

• Batasan zona: Anda harus membuat pengaitan di zona yang sama dengan endpoint firewall. Untuk pemeriksaan traffic yang efektif, buat pengaitan di zona tempat instance komputasi Anda di-deploy.
• Satu endpoint per zona: Dalam satu zona, Anda hanya dapat mengaitkan jaringan VPC dengan satu endpoint firewall (baik tingkat project (Pratinjau) maupun tingkat organisasi). Namun, Anda dapat mengaitkan satu jaringan VPC dengan endpoint firewall yang berbeda di beberapa zona yang berbeda.
• Pengaitan lintas project: Anda dapat mengaitkan jaringan VPC dengan endpoint firewall di project terpisah.
  • Jika Anda menggunakan endpoint tingkat project (Pratinjau), project endpoint harus berada di organisasi yang sama dengan jaringan VPC.
• Pemetaan resource: Pengaitan adalah resource tingkat project. Anda membuat pengaitan dalam project tertentu tempat instance komputasi Anda di-deploy, meskipun pengaitan tersebut mengarah ke endpoint firewall tingkat organisasi.

Endpoint firewall dengan dukungan jumbo frame hanya dapat menerima paket hingga 8.500 byte. Atau, endpoint firewall tanpa dukungan jumbo frame hanya dapat menerima paket hingga 1.460 byte. Jika Anda memerlukan layanan pemfilteran URL atau layanan deteksi dan pencegahan intrusi, sebaiknya konfigurasi jaringan VPC terkait untuk menggunakan batas unit transmisi maksimum (MTU)sebesar 8.500 byte dan 1.460 byte. Untuk mengetahui informasi selengkapnya, lihatUkuran paket yang didukung.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus sudah mendapatkan izin berikut_atau_ salah satu peran IAM berikut di project Anda.

Izin

• networksecurity.firewallEndpointAssociations.create
• networksecurity.firewallEndpoints.use di organisasi atau project tempat endpoint firewall dibuat.

Peran

• Admin Jaringan Compute (roles/compute.networkAdmin)
• Admin Endpoint Firewall (roles/networksecurity.firewallEndpointAdmin) yang diberikan di tingkat organisasi atau tingkat project

Konsol

1. Di Google Cloud konsol, buka halaman Firewall endpoints.
   Buka Firewall endpoints
2. Di menu pemilih project, pilih Google Cloud project Anda.
3. Klik Create endpoint association.
4. Di daftar Region, pilih region tempat Anda ingin membuat pengaitan endpoint firewall.
5. Di daftar Zone, pilih zona tempat Anda ingin membuat pengaitan endpoint firewall.
6. Di daftar Firewall endpoint, pilih endpoint firewall yang ingin Anda tambahkan ke pengaitan.
7. Di daftar Network, pilih jaringan yang ingin Anda tambahkan ke pengaitan.
8. Di daftar TLS inspection policy, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
9. Klik Create.

gcloud

Untuk membuat pengaitan endpoint firewall, gunakangcloud network-security firewall-endpoint-associations create perintah.

Endpoint firewall tingkat organisasi

gcloud network-security firewall-endpoint-associations
create NAME
--endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME
--zone ZONE
--project PROJECT_ID
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Endpoint firewall tingkat project

gcloud beta network-security firewall-endpoint-associations
create NAME
--endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME
--network projects/PROJECT_NAME/global/networks/NETWORK_NAME
--zone ZONE
--project PROJECT_ID
[ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

Ganti kode berikut:

• NAME: nama pengaitan endpoint firewall.
• ORGANIZATION_ID: ID organisasi tempat endpoint firewall tingkat organisasi dibuat.
• ENDPOINT_PROJECT_ID: project ID tempat endpoint firewall tingkat project dibuat. Google Cloud
• ZONE: zona endpoint firewall.
• FIREWALL_ENDPOINT_NAME: nama endpoint firewall.
• PROJECT_NAME: nama Google Cloud project jaringan.
• NETWORK_NAME: nama jaringan.
• PROJECT_ID: Google Cloud project ID tempat pengaitan dibuat. Project ini harus menjadi project tempat Anda ingin mencegat traffic.
• TLS_PROJECT_NAME: nama project kebijakan pemeriksaan TLS. Google Cloud
• REGION_NAME: nama region kebijakan pemeriksaan TLS.
• TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.
  Kebijakan ini digunakan untuk pemeriksaan TLS traffic terenkripsi di jaringan yang ditentukan. Argumen ini bersifat opsional.

Langkah berikutnya

• Menggunakan kebijakan dan aturan firewall hierarkis
• Menggunakan kebijakan dan aturan firewall jaringan global