VPC-Firewallregeln migrieren, die weder Netzwerk-Tags noch Dienstkonten verwenden

Wenn Ihre VPC-Firewallregeln (Virtual Private Cloud) weder Netzwerk-Tags noch Dienstkonten verwenden, führen Sie die folgenden Aufgaben aus, um die VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie zu migrieren:

1. Umgebung bewerten
2. Migrieren der VPC-Firewallregeln.
3. Neue globale Richtlinie für Netzwerkfirewalls überprüfen
4. Nach der Migration erforderliche Aufgaben ausführen

Vorbereitung

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Compute Engine API.

   Enable the API

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

8. Make sure that billing is enabled for your Google Cloud project.

9. Enable the Compute Engine API.

   Enable the API

10. Install the Google Cloud CLI.

11. To initialize the gcloud CLI, run the following command:

    gcloud init

12. Sie benötigen die Rolle „Compute Security Admin“ (roles/compute.securityAdmin).

Umgebung bewerten

1. Ermitteln Sie die Anzahl der vorhandenen VPC-Firewallregeln in Ihrem Netzwerk.
2. Notieren Sie sich die Prioritäten für jede einzelne VPC-Firewallregel.
3. Sie benötigen die erforderlichen IAM-Rollen (Identity and Access Management) und Berechtigungen, um globale Netzwerk-Firewallrichtlinien zu erstellen, zu verknüpfen, zu ändern und aufzurufen.

VPC-Firewallregeln migrieren

Nachdem Sie Ihre Umgebung bewertet haben, migrieren Sie Ihre VPC-Firewallregeln mit dem compute firewall-rules migrate-Befehl zu einer globalen Netzwerk-Firewallrichtlinie.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    –-target-firewall-policy=POLICY_NAME

Ersetzen Sie dabei Folgendes:

• NETWORK_NAME: Name des VPC-Netzwerks, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.
• POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.

Neue globale Richtlinie für Netzwerkfirewalls prüfen

Bevor Sie die neue globale Netzwerk-Firewallrichtlinie einem VPC-Netzwerk zuweisen, sollten Sie die Richtlinie prüfen, um sicherzustellen, dass die Migration korrekt abgeschlossen wurde.

Prüfen Sie die Konfiguration der Firewallrichtlinienregeln und ob die folgenden Regelkomponenten für die einzelnen Regeln korrekt migriert wurden:

• Relative Priorität
• Traffic-Richtung
• Aktion bei Übereinstimmung
• Log-Einstellungen
• Zielparameter
• Quellparameter (für Eingangsregeln)
• Zielparameter (für Ausgangsregeln)
• Protokoll- und Porteinschränkungen

Weitere Informationen zu den Komponenten einer Firewallrichtlinien-Regel finden Sie unter Firewallrichtlinien-Regeln.

Nach der Migration erforderliche Aufgaben

Um Ihre globale Netzwerk-Firewallrichtlinie zu aktivieren und zu verwenden, müssen Sie die in den folgenden Abschnitten beschriebenen Aufgaben ausführen, die nach der Migration erforderlich sind.

Globale Netzwerk-Firewallrichtlinie mit Ihrem Netzwerk verknüpfen

Das Migrationstool erstellt die globale Netzwerk-Firewallrichtlinie anhand der vorhandenen VPC-Firewallregeln. Sie müssen die Richtlinie manuell mit dem erforderlichen VPC-Netzwerk verknüpfen, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks zu aktivieren. Verwenden Sie zum Verknüpfen der globalen Netzwerk-Firewallrichtlinie den compute network-firewall-policies associations create-Befehl.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

Ersetzen Sie dabei Folgendes:

• POLICY_NAME: Name der globalen Netzwerkrichtlinie, die Sie mit Ihrem VPC-Netzwerk verknüpfen möchten.
• NETWORK_NAME ist der Name des VPC-Netzwerks.

Weitere Informationen zum Verknüpfen einer globalen Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.

Reihenfolge der Richtlinien- und Regelauswertung ändern

Standardmäßig wertet Cloud Next Generation Firewall die VPC-Firewallregeln aus, bevor eine globale Netzwerk-Firewallrichtlinie ausgewertet wird. Damit globale Netzwerk-Firewallrichtlinien Vorrang vor VPC-Firewallregeln haben, verwenden Sie den compute networks update-Befehl, um die Reihenfolge der Regelauswertung zu ändern.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

Ersetzen Sie NETWORK_NAME durch den Namen Ihres VPC-Netzwerks.

Verwenden Sie den Befehl compute networks get-effective-firewalls, um zu prüfen, ob die globale Netzwerk-Firewallrichtlinie vor den VPC-Firewallregeln ausgewertet wird.

gcloud compute networks get-effective-firewalls NETWORK_NAME

Wenn in der Ausgabe des vorherigen Befehls TYPE: network-firewall-policy vor TYPE: network-firewall angezeigt wird, wird die globale Netzwerk-Firewallrichtlinie zuerst ausgewertet.

Weitere Informationen zur Änderung der Reihenfolge der Richtlinien- und Regelauswertung finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.

// tslint:disable-next-line:objectLiteralShorthand

Logging von Firewallregeln aktivieren

Anhand von Protokollen können Sie feststellen, ob eine Firewallregel wie gewünscht funktioniert. Das Migrationstool behält den Logging-Status der vorhandenen VPC-Firewallregeln bei, wenn es die neue globale Netzwerk-Firewallrichtlinie erstellt. Achten Sie darauf, dass die Protokollierung für die Regeln in der globalen Netzwerk-Firewallrichtlinie aktiviert ist. Verwenden Sie den compute network-firewall-policies rules update-Befehl, um das Logging für Firewallrichtlinienregeln zu aktivieren.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

Ersetzen Sie dabei Folgendes:

• PRIORITY: Priorität der zu aktualisierenden Regel.
• POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, deren Regel Sie aktualisieren möchten.

Globale Netzwerk-Firewallrichtlinie testen

Bevor Sie Ihre VPC-Firewallregeln löschen, testen Sie Ihre globale Netzwerk-Firewallrichtlinie, um zu prüfen, ob die Richtlinienregeln bei regelkonformem Traffic wie gewünscht funktionieren.

Gehen Sie dazu so vor:

1. Achten Sie darauf, dass Sie das Logging für VPC-Firewallregeln und die globale Netzwerk-Firewallrichtlinie aktiviert haben.
2. Ändern Sie die Reihenfolge der Regelauswertung so, dass die globale Netzwerk-Firewallrichtlinie vor Ihren VPC-Firewallregeln ausgewertet wird.
3. Überwachen Sie die Protokolle, um zu prüfen, ob die globale Netzwerk-Firewallrichtlinie Trefferzahlen hat und die VPC-Firewallregeln gespiegelt werden.

Löschen Sie die VPC-Firewallregeln aus Ihrem Netzwerk

Wir empfehlen, die VPC-Firewallregeln erst zu deaktivieren, bevor Sie sie vollständig löschen. Sie können zu diesen Regeln zurückkehren, wenn die vom Migrationstool erstellte globale Netzwerk-Firewallrichtlinie nicht die gewünschten Ergebnisse liefert.

Verwenden Sie zum Löschen einer VPC-Firewallregel den Befehl compute firewall-rules update:

gcloud compute firewall-rules update RULE_NAME --disabled

Ersetzen Sie RULE_NAME durch den Namen der zu deaktivierenden VPC-Firewallregel.

Verwenden Sie zum Löschen einer VPC-Firewallregel den Befehl compute firewall-rules delete.

gcloud compute firewall-rules delete RULE_NAME

Nächste Schritte

• VPC-Firewallregeln migrieren
• VPC-Firewallregeln mit Abhängigkeiten migrieren