Halaman ini menjelaskan cara membuat dan mengelola asosiasi endpoint firewall menggunakan konsol Trusted Cloud dan Google Cloud CLI.
Saat mengaitkan endpoint firewall dengan satu atau beberapa jaringan Virtual Private Cloud (VPC), Anda membuat pengaitan di zona yang sama dengan endpoint firewall. Anda juga dapat mengaitkan endpoint firewall di zona yang berbeda ke jaringan VPC.
Sebelum memulai
Anda memerlukan jaringan VPC dan subnet.
Anda harus mengaktifkan Compute Engine API di project Trusted Cloud Anda.
Anda harus mengaktifkan Network Security API di project Trusted Cloud Anda.
Anda harus mengaktifkan Certificate Authority Service API di project Trusted Cloud Anda.
Instal gcloud CLI jika Anda ingin menjalankan contoh command line
gclouddalam panduan ini.Anda memerlukan endpoint firewall.
Peran
Untuk mendapatkan izin yang diperlukan untuk membuat, melihat, memperbarui, atau menghapus asosiasi endpoint firewall, minta administrator Anda untuk memberi Anda peran IAM yang diperlukan di organisasi dan project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Kuota
Untuk melihat kuota untuk asosiasi endpoint firewall, lihat Kuota dan batas.
Membuat pengaitan endpoint firewall
KonsolTrusted Cloud memungkinkan Anda membuat asosiasi endpoint firewall untuk salah satu dari berikut ini:
Semua opsi ini membuat asosiasi yang sama. Satu-satunya perbedaan antara asosiasi yang dibuat di konsol Trusted Cloud adalah tempat Anda memulai proses pembuatannya. Untuk asosiasi yang dibuat menggunakan gcloud CLI, prosesnya sama untuk semua asosiasi endpoint firewall.
Membuat asosiasi endpoint firewall untuk jaringan VPC
Anda dapat mengaitkan satu atau beberapa endpoint firewall ke jaringan VPC tertentu. Setiap endpoint firewall terkait termasuk dalam zona yang berbeda dalam jaringan VPC.
Konsol
Di Trusted Cloud konsol, buka halaman VPC networks.
Klik nama jaringan VPC untuk menampilkan halaman VPC network details-nya.
Pilih tab Endpoint firewall.
Klik Buat asosiasi endpoint.
Dalam daftar Region, pilih region tempat Anda ingin membuat asosiasi endpoint firewall.
Di daftar Zone, pilih zona tempat Anda ingin membuat asosiasi endpoint firewall.
Di daftar Endpoint firewall, pilih endpoint firewall yang ingin Anda kaitkan dengan jaringan VPC ini.
Di daftar kebijakan inspeksi TLS, pilih kebijakan inspeksi TLS yang ingin Anda tambahkan ke jaringan VPC ini.
Klik Buat.
gcloud
Untuk membuat asosiasi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ORGANIZATION_ID: ID organisasi tempat endpoint firewall dibuat.ZONE: zona endpoint firewall.FIREWALL_ENDPOINT_NAME: nama endpoint firewall.PROJECT_NAME: nama project Trusted Cloud jaringan.NETWORK_NAME: nama jaringan.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.TLS_PROJECT_NAME: Trusted Cloud nama project kebijakan inspeksi TLS.REGION_NAME: nama region kebijakan inspeksi TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS traffic terenkripsi di jaringan yang ditentukan. Ini adalah argumen opsional.
Membuat pengaitan endpoint firewall untuk endpoint firewall
Anda dapat mengaitkan satu atau beberapa jaringan VPC ke endpoint firewall tertentu di zona yang sama.
Konsol
Di konsol Trusted Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Klik Buat asosiasi endpoint.
Klik Tambahkan asosiasi endpoint.
Di daftar Project, pilih project Trusted Cloud tempat Anda ingin membuat asosiasi endpoint firewall.
Jika Compute Engine API dan Network Security API tidak diaktifkan untuk project Trusted Cloud , klik Aktifkan.
Di daftar Network, pilih jaringan yang ingin Anda kaitkan dengan endpoint firewall.
Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke asosiasi ini.
Untuk menambahkan asosiasi lain, klik Tambahkan asosiasi endpoint.
Klik Buat.
gcloud
Untuk membuat asosiasi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ORGANIZATION_ID: ID organisasi tempat endpoint firewall dibuat.ZONE: zona endpoint firewall.FIREWALL_ENDPOINT_NAME: nama endpoint firewall.PROJECT_NAME: nama project Trusted Cloud jaringan.NETWORK_NAME: nama jaringan.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.TLS_PROJECT_NAME: Trusted Cloud nama project kebijakan inspeksi TLS.REGION_NAME: nama region kebijakan inspeksi TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS traffic terenkripsi di jaringan yang ditentukan. Ini adalah argumen opsional.
Membuat pengaitan endpoint firewall dalam project
Anda dapat menambahkan beberapa asosiasi endpoint firewall ke project tertentu.
Konsol
Di konsol Trusted Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih project Trusted Cloud Anda.
Klik Buat asosiasi endpoint.
Dalam daftar Region, pilih region tempat Anda ingin membuat asosiasi endpoint firewall.
Di daftar Zone, pilih zona tempat Anda ingin membuat asosiasi endpoint firewall.
Di daftar Endpoint firewall, pilih endpoint firewall yang ingin Anda tambahkan ke asosiasi.
Di daftar Network, pilih jaringan yang ingin Anda tambahkan ke asosiasi.
Di kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang ingin Anda tambahkan ke pengaitan ini.
Klik Buat.
gcloud
Untuk membuat asosiasi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations create:
gcloud network-security firewall-endpoint-associations \ create NAME \ --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \ --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \ --zone ZONE \ --project PROJECT_ID \ [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ORGANIZATION_ID: ID organisasi tempat endpoint firewall dibuat.ZONE: zona endpoint firewall.FIREWALL_ENDPOINT_NAME: nama endpoint firewall.PROJECT_NAME: nama project Trusted Cloud jaringan.NETWORK_NAME: nama jaringan.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.TLS_PROJECT_NAME: Trusted Cloud nama project kebijakan inspeksi TLS.REGION_NAME: nama region kebijakan inspeksi TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.Kebijakan ini digunakan untuk pemeriksaan TLS traffic terenkripsi di jaringan yang ditentukan. Ini adalah argumen opsional.
Melihat pengaitan endpoint firewall
Anda dapat melihat detail asosiasi endpoint firewall tertentu di zona.
gcloud
gcloud network-security firewall-endpoint-associations \ describe NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ZONE: zona asosiasi endpoint firewall.PROJECT_ID: Trusted Cloud project ID dari asosiasi endpoint firewall.
Mencantumkan asosiasi endpoint firewall
Anda dapat mencantumkan asosiasi endpoint firewall untuk jaringan, project, atau endpoint firewall.
Mencantumkan semua asosiasi endpoint firewall untuk jaringan VPC
Anda dapat mencantumkan semua asosiasi endpoint firewall untuk jaringan VPC tertentu.
Konsol
Di Trusted Cloud konsol, buka halaman VPC networks.
Klik nama jaringan VPC untuk menampilkan halaman VPC network details-nya.
Pilih tab Endpoint firewall. Tab ini menampilkan daftar konfigurasi asosiasi endpoint firewall.
gcloud
Untuk mencantumkan asosiasi endpoint firewall untuk jaringan tertentu, gunakan
perintah gcloud network-security firewall-endpoint-associations list
dengan flag --filter:
gcloud network-security firewall-endpoint-associations list \ --filter network:NETWORK_NAME \ --project PROJECT_ID
Ganti kode berikut:
NETWORK_NAME: Nama jaringan VPC.PROJECT_ID: Trusted Cloud project ID dari asosiasi endpoint firewall.
Mencantumkan semua asosiasi endpoint firewall untuk endpoint firewall
Anda dapat mencantumkan semua asosiasi endpoint firewall tertentu.
Konsol
Di konsol Trusted Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Detail endpoint firewall, tabel mencantumkan semua konfigurasi asosiasi endpoint firewall.
gcloud
Untuk mencantumkan asosiasi endpoint firewall untuk endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations list
dengan flag --zone:
gcloud network-security firewall-endpoint-associations list \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
ZONE: zona endpoint firewall. Untuk mencantumkan asosiasi endpoint firewall di semua zona, gunakan-.PROJECT_ID: Trusted Cloud project ID dari asosiasi endpoint firewall.
Mencantumkan semua asosiasi endpoint firewall dalam project
Anda dapat mencantumkan semua asosiasi endpoint firewall dalam project tertentu.
Konsol
Di konsol Trusted Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih project Trusted Cloud Anda.
Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
gcloud
Untuk mencantumkan asosiasi endpoint firewall dalam project, gunakan
perintah gcloud network-security firewall-endpoint-associations list:
gcloud network-security firewall-endpoint-associations list \ --project PROJECT_ID
Ganti kode berikut:
PROJECT_ID: Trusted Cloud project ID dari asosiasi endpoint firewall.
Mengedit pengaitan endpoint firewall
Trusted Cloud console memungkinkan Anda mengedit pengaitan endpoint firewall untuk jaringan, project, atau endpoint firewall. Petunjuk gcloud CLI untuk mengedit asosiasi endpoint firewall sama untuk semua opsi ini.
Mengedit pengaitan endpoint firewall untuk jaringan VPC
Anda dapat mengedit asosiasi endpoint firewall untuk zona tertentu di jaringan VPC.
Konsol
Di Trusted Cloud konsol, buka halaman VPC networks.
Klik nama jaringan VPC untuk menampilkan halaman VPC network details-nya.
Pilih tab Endpoint firewall. Tab ini menampilkan daftar konfigurasi asosiasi endpoint firewall.
Klik Edit di samping asosiasi endpoint firewall yang ingin Anda perbarui.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Enable association.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Simpan.
gcloud
Untuk memperbarui asosiasi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ZONE: zona asosiasi endpoint firewall.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.TLS_PROJECT_NAME: Trusted Cloud nama project kebijakan inspeksi TLS.REGION_NAME: nama region kebijakan inspeksi TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.
Mengedit pengaitan endpoint firewall untuk endpoint firewall
Anda dapat mengedit asosiasi untuk endpoint firewall tertentu.
Konsol
Di konsol Trusted Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Detail endpoint firewall, tabel mencantumkan semua konfigurasi asosiasi endpoint firewall.
Klik Edit di samping asosiasi endpoint firewall yang ingin Anda perbarui.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Enable association.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Simpan.
gcloud
Untuk memperbarui asosiasi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ZONE: zona asosiasi endpoint firewall.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.TLS_PROJECT_NAME: Trusted Cloud nama project kebijakan inspeksi TLS.REGION_NAME: nama region kebijakan inspeksi TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.
Mengedit pengaitan endpoint firewall dalam project
Anda dapat mengedit pengaitan endpoint firewall dalam project tertentu.
Konsol
Di konsol Trusted Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih project Trusted Cloud Anda.
Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
Di samping asosiasi endpoint firewall yang ingin Anda perbarui, klik Edit.
Untuk menonaktifkan pengaitan endpoint firewall, hapus centang pada kotak Enable association.
Untuk memperbarui kebijakan pemeriksaan TLS, pilih kebijakan baru dari daftar Kebijakan pemeriksaan TLS.
Klik Simpan.
gcloud
Untuk memperbarui asosiasi endpoint firewall, gunakan
perintah gcloud network-security firewall-endpoint-associations update:
gcloud network-security firewall-endpoint-associations
update NAME \
--zone ZONE \
--project PROJECT_ID \
--disabled \
--tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ZONE: zona asosiasi endpoint firewall.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.TLS_PROJECT_NAME: Trusted Cloud nama project kebijakan inspeksi TLS.REGION_NAME: nama region kebijakan inspeksi TLS.TLS_POLICY_NAME: nama kebijakan pemeriksaan TLS.
Menghapus pengaitan endpoint firewall
KonsolTrusted Cloud memungkinkan Anda menghapus asosiasi endpoint firewall dari jaringan, project, atau endpoint firewall.
Saat project Trusted Cloud dihapus, asosiasi endpoint firewall yang terkait akan otomatis dihapus. Penghapusan ini tidak dapat diurungkan, bahkan jika project dipulihkan nanti.
Namun, proses penghapusan untuk asosiasi ini terkadang dapat gagal.
Jika hal ini terjadi dan project dipulihkan, endpoint firewall terkait akan muncul dalam status ORPHAN dalam project yang dipulihkan. Hal ini menunjukkan link yang rusak antara project dan resource-nya karena penghapusan yang tidak berhasil.
Anda dapat melihat asosiasi tanpa induk ini di konsol Trusted Cloud , tetapi Anda tidak dapat mengedit asosiasi ini. Cloud Next Generation Firewall menjalankan proses latar belakang secara berkala yang menghapus resource yang tidak terkait ini.
Menghapus pengaitan endpoint firewall untuk jaringan VPC
Anda dapat menghapus pengaitan endpoint firewall untuk zona tertentu di jaringan VPC.
Konsol
Di Trusted Cloud konsol, buka halaman VPC networks.
Klik nama jaringan VPC untuk menampilkan halaman VPC network details-nya.
Pilih tab Endpoint firewall. Tab ini menampilkan daftar konfigurasi asosiasi endpoint firewall.
Pilih asosiasi endpoint firewall, lalu klik Hapus.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus asosiasi endpoint firewall, gunakan perintah
gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ZONE: zona asosiasi endpoint firewall.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.
Menghapus pengaitan endpoint firewall untuk endpoint firewall
Anda dapat menghapus asosiasi untuk endpoint firewall tertentu.
Konsol
Di konsol Trusted Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih organisasi Anda.
Klik endpoint firewall untuk melihat detailnya.
Di halaman Detail endpoint firewall, tabel mencantumkan semua konfigurasi asosiasi endpoint firewall.
Pilih asosiasi endpoint firewall, lalu klik Hapus.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus asosiasi endpoint firewall, gunakan perintah
gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ZONE: zona asosiasi endpoint firewall.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.
Menghapus pengaitan endpoint firewall dalam project
Anda dapat menghapus pengaitan endpoint firewall dalam project tertentu.
Konsol
Di konsol Trusted Cloud , buka halaman Firewall endpoints.
Di menu pemilih project, pilih project Trusted Cloud Anda.
Di bagian Asosiasi endpoint firewall, tabel mencantumkan semua asosiasi endpoint firewall yang dikonfigurasi untuk project ini.
Pilih asosiasi endpoint firewall, lalu klik Hapus.
Klik Delete lagi untuk mengonfirmasi.
gcloud
Untuk menghapus asosiasi endpoint firewall, gunakan perintah
gcloud network-security firewall-endpoint-associations delete:
gcloud network-security firewall-endpoint-associations \ delete NAME \ --zone ZONE \ --project PROJECT_ID
Ganti kode berikut:
NAME: nama asosiasi endpoint firewall.ZONE: zona asosiasi endpoint firewall.PROJECT_ID: Trusted Cloud project ID tempat asosiasi dibuat.
Langkah berikutnya
- Menggunakan kebijakan dan aturan firewall hierarkis
- Menggunakan kebijakan dan aturan firewall jaringan global