Migrar reglas de cortafuegos de VPC que no usen etiquetas de red ni cuentas de servicio

Si tus reglas de cortafuegos de nube privada virtual (VPC) no usan etiquetas de red ni cuentas de servicio, realiza las siguientes tareas para migrar las reglas de cortafuegos de VPC a una política de cortafuegos de red global:

  1. Evalúa tu entorno.
  2. Migra las reglas de cortafuegos de VPC.
  3. Consulta la nueva política de cortafuegos de red global.
  4. Completa las tareas posteriores a la migración.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Install the Google Cloud CLI.

  6. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  7. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Install the Google Cloud CLI.

  12. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  13. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init
  14. Asegúrate de tener el rol Administrador de seguridad de Compute (roles/compute.securityAdmin).

    15. Evalúa tu entorno

    1. Identifica el número de reglas de cortafuegos de VPC que hay en tu red.
    2. Anota las prioridades asociadas a cada regla de cortafuegos de VPC.
    3. Asegúrate de que tienes los roles y permisos de gestión de identidades y accesos necesarios para crear, asociar, modificar y ver políticas de cortafuegos de red globales.

    Migrar las reglas de cortafuegos de VPC

    Después de evaluar tu entorno, migra tus reglas de cortafuegos de VPC a una política de cortafuegos de red global mediante el comando compute firewall-rules migrate.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME

    Haz los cambios siguientes:

    • NETWORK_NAME: el nombre de la red de VPC que contiene las reglas de cortafuegos de VPC que quieres migrar.
    • POLICY_NAME: el nombre de la política de cortafuegos de red global que se va a crear durante la migración.

    Excluir reglas de cortafuegos de la migración

    Para excluir reglas de cortafuegos específicas de la migración, usa el comando gcloud beta compute firewall-rules migrate con la marca --exclusion-patterns-file:

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

    Haz los cambios siguientes:

    • NETWORK_NAME: el nombre de la red de VPC que contiene las reglas de cortafuegos de VPC que quieres migrar.
    • POLICY_NAME: el nombre de la política de cortafuegos de red global que se creará durante la migración.

    • EXCLUSION_PATTERNS_FILE: el nombre del archivo que contiene expresiones regulares que definen patrones de nomenclatura de cortafuegos de VPC que se deben excluir de la migración. Asegúrate de especificar la ruta completa del archivo. Las reglas de cortafuegos que coincidan con los patrones especificados se omitirán.

      Cuando definas los patrones de exclusión, ten en cuenta lo siguiente:

      • Cada expresión regular debe estar en una línea independiente y representar un único patrón de nomenclatura de firewall.
      • Las expresiones regulares no contienen espacios en blanco al principio ni al final.

    Ver las reglas de cortafuegos excluidas

    En función de los patrones de nomenclatura de las reglas de cortafuegos excluidas, la herramienta de migración no migra algunas reglas de cortafuegos, como las de Google Kubernetes Engine (GKE). Para exportar la lista de patrones de nomenclatura de reglas de cortafuegos excluidas, usa el comando gcloud beta compute firewall-rules migrate con las marcas --export-exclusion-patterns y --exclusion-patterns-file.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

    Haz los cambios siguientes:

    • NETWORK_NAME: el nombre de la red de VPC que contiene las reglas de cortafuegos de VPC que quieres migrar.
    • POLICY_NAME: el nombre de la política de cortafuegos de red global que se creará durante la migración.

    • EXCLUSION_PATTERNS_FILE: la ruta del archivo en el que se exportan los siguientes patrones de nomenclatura de reglas de cortafuegos excluidas.

      gke-(.+)-ipv6-all
gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
k8s-fw-(l7-)?(.+)
k8s-(.+)-((node)|(http)|(node-http))-hc
(.+)-hc
k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
k8s2-(.+)-l4-shared-hc-fw
gke((gw)|(mcg))1-l7-(.+)-(.+)

    Para migrar las reglas de cortafuegos excluidas que coincidan con un patrón específico, elimina el patrón de la lista exportada y ejecuta el comando gcloud beta compute firewall-rules migrate con la marca --exclusion-patterns-file.

    Forzar la migración y mantener el orden de evaluación

    Durante la migración, si el orden de evaluación de una regla de cortafuegos excluida se encuentra entre los órdenes de evaluación de las reglas de cortafuegos especificadas por el usuario, la migración falla.Esto ocurre porque las reglas de cortafuegos excluidas no se migran y la herramienta de migración no puede conservar el orden de evaluación original de las reglas definidas por el usuario en la nueva política de cortafuegos de la red.

    Por ejemplo, si las reglas de cortafuegos tienen las siguientes prioridades, la migración fallará.

    • Una regla especificada por el usuario con prioridad 100
    • Una regla excluida con prioridad 200
    • Una regla especificada por el usuario con prioridad 300

    Para forzar que la herramienta de migración migre las reglas especificadas por el usuario, conservando su orden de evaluación original e ignorando las reglas de cortafuegos excluidas, usa el comando gcloud beta compute firewall-rules migrate con la marca --force.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

    Haz los cambios siguientes:

    • NETWORK_NAME: el nombre de la red de VPC que contiene las reglas de cortafuegos de VPC que quieres migrar.
    • POLICY_NAME: el nombre de la política de cortafuegos de red global que se creará durante la migración.

    Revisa la nueva política de cortafuegos de red global

    Antes de adjuntar la nueva política de cortafuegos de red global a una red de VPC, Google recomienda que revises la política para asegurarte de que el proceso de migración se ha completado correctamente.

    Verifica la configuración de las reglas de la política de cortafuegos y comprueba si los siguientes componentes de cada regla se han migrado correctamente:

    • Prioridad relativa
    • Dirección del tráfico
    • Acción tras coincidencia
    • Configuración de registros
    • Parámetros de destino
    • Parámetros de origen (para reglas de entrada)
    • Parámetros de destino (para reglas de salida)
    • Restricciones de protocolo y puerto

    Para obtener más información sobre los componentes de una regla de política de cortafuegos, consulta Reglas de políticas de cortafuegos.

    Tareas posteriores a la migración

    Para activar y usar tu política de cortafuegos de red global, debes completar las tareas posteriores a la migración que se describen en las siguientes secciones.

    Asocia la política de cortafuegos de red global a tu red

    La herramienta de migración crea la política de cortafuegos de red global en función de las reglas de cortafuegos de VPC existentes. Debes asociar manualmente la política a la red de VPC necesaria para activar las reglas de la política en las VMs de esa red. Para asociar la política de cortafuegos de red global, usa el comando compute network-firewall-policies associations create.

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

    Haz los cambios siguientes:

    • POLICY_NAME: el nombre de la política de red global que quieras asociar a tu red VPC.
    • NETWORK_NAME: el nombre de tu red de VPC.

    Para obtener más información sobre cómo asociar una política de cortafuegos de red global a una red de VPC, consulta Asociar una política a la red.

    Cambiar el orden de evaluación de las políticas y las reglas

    De forma predeterminada, Cloud Next Generation Firewall evalúa las reglas de cortafuegos de VPC antes de evaluar una política de cortafuegos de red global. Para asegurarte de que las políticas de cortafuegos de red globales tengan prioridad sobre las reglas de cortafuegos de VPC, usa el comando compute networks update para cambiar el orden de evaluación de las reglas.

    gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

    Sustituye NETWORK_NAME por el nombre de tu red de VPC.

    Para verificar si la política de cortafuegos de red global se evalúa antes que las reglas de cortafuegos de VPC, usa el comando compute networks get-effective-firewalls.

    gcloud compute networks get-effective-firewalls NETWORK_NAME

    En la salida del comando anterior, si TYPE: network-firewall-policy se muestra antes que TYPE: network-firewall, se evalúa primero la política de cortafuegos de red global.

    Para obtener más información sobre el cambio en el orden de evaluación de las políticas y las reglas, consulta el artículo Cambiar el orden de evaluación de las políticas y las reglas.

    Habilitar el registro de reglas de cortafuegos

    El registro te ayuda a determinar si una regla de cortafuegos funciona correctamente. La herramienta de migración conserva el estado de registro de las reglas de cortafuegos de VPC al crear la nueva política de cortafuegos de red global. Asegúrate de que el registro esté habilitado en las reglas de la política de cortafuegos de red global. Para habilitar el registro de las reglas de la política de cortafuegos, usa el comando compute network-firewall-policies rules update.

    gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

    Haz los cambios siguientes:

    • PRIORITY: la prioridad de la regla que se va a actualizar.
    • POLICY_NAME: nombre de la política de cortafuegos de red global cuya regla quieras actualizar.

    Probar una política de cortafuegos de red global

    Antes de eliminar las reglas de cortafuegos de VPC, prueba tu política de cortafuegos de red global para comprobar si las reglas de la política funcionan según lo previsto para el tráfico que coincida con las reglas.

    Sigue estos pasos:

    1. Asegúrate de que has habilitado el registro en las reglas de cortafuegos de VPC y en la política de cortafuegos de red global.
    2. Cambia el orden de evaluación de las reglas para que la política de cortafuegos de red global se evalúe antes que las reglas de cortafuegos de VPC.
    3. Monitoriza los registros para verificar que la política de cortafuegos de red global tiene recuentos de aciertos y que las reglas de cortafuegos de VPC están ocultas.

    Elimina las reglas de cortafuegos de VPC de tu red

    Google recomienda que inhabilite las reglas de firewall de VPC antes de eliminarlas por completo. Puede volver a esas reglas si la política de cortafuegos de red global creada por la herramienta de migración no proporciona los resultados esperados.

    Para inhabilitar una regla de cortafuegos de VPC, usa el comando compute firewall-rules update.

    gcloud compute firewall-rules update RULE_NAME --disabled

    Sustituye RULE_NAME por el nombre de la regla de cortafuegos de VPC que quieras inhabilitar.

    Para eliminar una regla de cortafuegos de VPC, usa el comando compute firewall-rules delete.

    gcloud compute firewall-rules delete RULE_NAME

    Siguientes pasos