您可以使用来自 Google Cloud CLI 或 Compute Engine API 的单个请求,批量更新分层防火墙和网络防火墙政策的所有防火墙政策规则。这可确保防火墙政策的规则集的完整性。通过批量更新,Cloud 新一代防火墙为您提供了一种高效且易于管理的方式,让您在云端环境中处理防火墙政策规则更新。
如需详细了解如何配置批量更新,请参阅配置防火墙政策规则的批量更新。
权限
确保您拥有以下权限来批量更新防火墙政策规则。
compute.firewallPolicies.get权限,用于导出分层防火墙政策规则。compute.firewallPolicies.update权限,用于导入分层防火墙政策规则。compute.firewallPolicies.get权限,用于导出网络防火墙政策规则。compute.regionFirewallPolicies.get权限,用于导出区域级网络防火墙政策规则。compute.firewallPolicies.update权限,用于导入网络防火墙政策规则。compute.regionFirewallPolicies.update权限,用于导入区域级网络防火墙政策规则。
如需详细了解角色和权限,请参阅 Compute Engine 角色。
规范
防火墙政策规则的批量更新具有以下规范:
更新过程是原子性的。这意味着,如果在导入规则时发生错误,则所有更改都将回滚,并且您的防火墙政策规则会保持先前的状态。
使用 REST API 更新防火墙政策规则时,REST API 需要使用指纹来实现乐观锁定。如需了解详情,请参阅乐观并发控制。如需获取最新的指纹,我们建议您先向防火墙政策发出
get请求。向防火墙政策发出的get请求会获取政策的最新版本,这有助于确保更新基于政策的最新版本。在对政策进行并发修改时,这有助于防止冲突。使用 REST API
patch方法时,您可以在请求中提供一个全新列表,以替换所有现有规则。如果防火墙策略
patch操作正在进行中,您不能使用诸如addRule,patchRule,removeRule, 或者cloneRules。 这有助于确保在修补操作期间没有相冲突的修改。
配置批量更新
批量更新过程涉及三个关键步骤:
- 导出:导出当前防火墙政策规则。
- 修改:对导出的防火墙政策规则进行必要的批量更新。
- 导入:将修改后的文件导入回防火墙政策规则。
如需配置对防火墙政策规则的批量更新,请执行以下操作:
导出防火墙政策规则。如需了解详情,请参阅导出防火墙政策规则。
修改导出的文件。您可以执行以下步骤来更新文件:
添加新规则:确保每条新规则都符合
FirewallPolicyRule.yaml架构。修改现有规则:更改要更新的规则的特性。这些属性包括评估传入流量时所依据的操作、说明和匹配条件。
删除规则:移除要删除的防火墙政策规则的条目。
如需了解详情,请参阅修改防火墙政策规则。
将规则重新导入防火墙政策。如需了解详情,请参阅导入防火墙政策规则。
后续步骤
- 如需了解防火墙规则,请参阅防火墙政策规则。
- 如需了解如何为防火墙政策规则配置批量更新,请参阅为防火墙政策配置批量更新。