您可以使用 Google Cloud CLI 或 Compute Engine API 的單一要求,批次更新階層式和網路防火牆政策的所有防火牆政策規則。確保防火牆政策規則集的完整性。透過批次更新,Cloud Next Generation Firewall 可讓您以有效率且易於管理的方式,處理雲端環境中的防火牆政策規則更新。
如要進一步瞭解如何設定批次更新,請參閱「設定防火牆政策規則的批次更新」。
權限
請確認您具備下列權限,可批次更新防火牆政策規則。
- 匯出階層式防火牆政策規則的
compute.firewallPolicies.get權限。 - 匯入階層式防火牆政策規則的
compute.firewallPolicies.update權限。 - 匯出網路防火牆政策規則的
compute.firewallPolicies.get權限。 - 匯出區域網路防火牆政策規則的
compute.regionFirewallPolicies.get權限。 - 匯入網路防火牆政策規則的
compute.firewallPolicies.update權限。 - 匯入區域網路防火牆政策規則的
compute.regionFirewallPolicies.update權限。
如要進一步瞭解角色和權限,請參閱 Compute Engine 角色。
規格
批次更新防火牆政策規則適用的規範如下:
更新程序是不可分割的。也就是說,如果匯入規則時發生錯誤,系統會復原所有變更,防火牆政策規則也會維持先前的狀態。
使用 REST API 更新防火牆政策規則時,REST API 需要指紋進行樂觀鎖定。詳情請參閱樂觀並行控制。 如要取得最新指紋,建議您先向防火牆政策發出
get要求。對防火牆政策發出get要求時,會取得最新版本的政策,確保更新作業是以最新版本的政策為依據。如果同時修改政策,這有助於避免衝突。使用 REST API
patch方法時,您可以在要求中提供全新的清單,取代所有現有規則。如果防火牆政策
patch作業正在進行中,您就無法使用addRule、patchRule、removeRule或cloneRules等方法修改規則。確保修補作業期間不會發生衝突的修改。
設定批次更新
批次更新程序包含三個重要步驟:
- 匯出:匯出目前的防火牆政策規則。
- 修改:對匯出的防火牆政策規則進行必要的批次更新。
- 匯入:將修改後的檔案匯回防火牆政策規則。
如要設定防火牆政策規則的批次更新,請按照下列步驟操作:
匯出防火牆政策規則。詳情請參閱匯出防火牆政策規則。
修改匯出的檔案。如要更新檔案,請按照下列步驟操作:
新增規則:請確認每項新規則都符合
FirewallPolicyRule.yaml結構定義。修改現有規則:變更要更新的規則屬性。這些屬性包括動作、說明和比對條件,系統會根據這些條件評估連入流量。
刪除規則:移除要刪除的防火牆政策規則項目。
詳情請參閱修改防火牆政策規則。
將規則匯回防火牆政策。詳情請參閱匯入防火牆政策規則。
後續步驟
- 如需防火牆規則的簡介,請參閱防火牆政策規則。
- 如要瞭解如何設定防火牆政策規則的批次更新,請參閱「設定防火牆政策的批次更新」。