Wenn Ihre VPC-Firewallregeln (Virtual Private Cloud) weder Netzwerk-Tags noch Dienstkonten verwenden, führen Sie die folgenden Aufgaben aus, um die VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie zu migrieren:
- Umgebung bewerten
- Migrieren der VPC-Firewallregeln.
- Neue globale Richtlinie für Netzwerkfirewalls überprüfen
- Nach der Migration erforderliche Aufgaben ausführen
Vorbereitung
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Sie benötigen die Rolle „Compute Security Admin“ (
roles/compute.securityAdmin).
Umgebung bewerten
- Ermitteln Sie die Anzahl der vorhandenen VPC-Firewallregeln in Ihrem Netzwerk.
- Notieren Sie sich die Prioritäten für jede einzelne VPC-Firewallregel.
- Sie benötigen die erforderlichen IAM-Rollen (Identity and Access Management) und Berechtigungen, um globale Netzwerk-Firewallrichtlinien zu erstellen, zu verknüpfen, zu ändern und aufzurufen.
VPC-Firewallregeln migrieren
Nachdem Sie Ihre Umgebung bewertet haben, migrieren Sie Ihre VPC-Firewallregeln mit dem compute firewall-rules migrate-Befehl zu einer globalen Netzwerk-Firewallrichtlinie.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME
Ersetzen Sie dabei Folgendes:
NETWORK_NAME: Name des VPC-Netzwerks, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.
Firewallregeln von der Migration ausschließen
Wenn Sie bestimmte Firewallregeln von der Migration ausschließen möchten, verwenden Sie den Befehl gcloud beta compute
firewall-rules migrate mit dem Flag --exclusion-patterns-file:
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--exclusion-patterns-file=EXCLUSION_PATTERNS_FILE
Ersetzen Sie Folgendes:
NETWORK_NAME: Name Ihres VPC-Netzwerks, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.EXCLUSION_PATTERNS_FILE: der Name der Datei, die reguläre Ausdrücke enthält, mit denen Benennungsmuster für VPC-Firewalls definiert werden, die von der Migration ausgeschlossen werden sollen. Geben Sie den vollständigen Pfad der Datei an. Firewallregeln, die den angegebenen Mustern entsprechen, werden übersprungen.Berücksichtigen Sie beim Definieren der Ausschlüsse Folgendes:
- Jeder reguläre Ausdruck muss in einer eigenen Zeile stehen und ein einzelnes Firewall-Benennungsmuster darstellen.
- Die regulären Ausdrücke dürfen keine führenden oder nachgestellten Leerzeichen enthalten.
Ausgeschlossene Firewallregeln ansehen
Aufgrund der ausgenommenen Benennungsmuster für Firewallregeln migriert das Migrationstool einige Firewallregeln nicht, z. B. Firewallregeln der Google Kubernetes Engine (GKE). Verwenden Sie den Befehl gcloud beta compute firewall-rules migrate mit den Flags --export-exclusion-patterns und --exclusion-patterns-file, um die Liste der ausgeschlossenen Benennungsmuster für Firewallregeln zu exportieren.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
--export-exclusion-patterns
Ersetzen Sie Folgendes:
NETWORK_NAME: Name Ihres VPC-Netzwerks, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.EXCLUSION_PATTERNS_FILE: der Pfad zur Datei, in die die folgenden auszuschließenden Benennungsmuster für Firewallregeln exportiert werden.gke-(.+)-ipv6-all gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd)) k8s-fw-(l7-)?(.+) k8s-(.+)-((node)|(http)|(node-http))-hc (.+)-hc k8s2-(.+)-(.+)-(.+)-(.+)(-fw)? k8s2-(.+)-l4-shared-hc-fw gke((gw)|(mcg))1-l7-(.+)-(.+)
Wenn Sie ausgeschlossene Firewallregeln migrieren möchten, die einem bestimmten Muster entsprechen, entfernen Sie das Muster aus der exportierten Liste und führen Sie den Befehl gcloud beta compute
firewall-rules migrate mit dem Flag --exclusion-patterns-file aus.
Migration erzwingen und Bewertungsreihenfolge beibehalten
Wenn während der Migration die Auswertungsreihenfolge einer ausgeschlossenen Firewallregel zwischen den Auswertungsreihenfolgen von vom Nutzer angegebenen Firewallregeln liegt, schlägt die Migration fehl.Das liegt daran, dass die ausgeschlossenen Firewallregeln nicht migriert werden und das Migrationstool die ursprüngliche Auswertungsreihenfolge benutzerdefinierter Regeln in der neuen Netzwerk-Firewallrichtlinie nicht beibehalten kann.
Wenn Ihre Firewallregeln beispielsweise die folgenden Prioritäten haben, schlägt die Migration fehl.
- Eine vom Nutzer angegebene Regel mit der Priorität 100
- Eine ausgeschlossene Regel mit der Priorität 200
- Eine vom Nutzer angegebene Regel mit der Priorität 300
Wenn Sie das Migrationstool dazu zwingen möchten, die vom Nutzer angegebenen Regeln zu migrieren, wobei die ursprüngliche Auswertungsreihenfolge beibehalten und ausgeschlossene Firewallregeln ignoriert werden, verwenden Sie den Befehl gcloud beta compute firewall-rules migrate mit dem Flag --force.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--force
Ersetzen Sie Folgendes:
NETWORK_NAME: Name Ihres VPC-Netzwerks, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.
Neue globale Richtlinie für Netzwerkfirewalls prüfen
Bevor Sie die neue globale Netzwerk-Firewallrichtlinie einem VPC-Netzwerk zuordnen, empfiehlt Google, dass Sie die Richtlinie prüfen, um sicherzustellen, dass die Migration korrekt abgeschlossen wurde.
Prüfen Sie die Konfiguration der Firewallrichtlinienregeln und ob die folgenden Regelkomponenten für die einzelnen Regeln korrekt migriert wurden:
- Relative Priorität
- Traffic-Richtung
- Aktion bei Übereinstimmung
- Log-Einstellungen
- Zielparameter
- Quellparameter (für Eingangsregeln)
- Zielparameter (für Ausgangsregeln)
- Protokoll- und Porteinschränkungen
Weitere Informationen zu den Komponenten einer Firewallrichtlinien-Regel finden Sie unter Firewallrichtlinien-Regeln.
Nach der Migration erforderliche Aufgaben
Um Ihre globale Netzwerk-Firewallrichtlinie zu aktivieren und zu verwenden, müssen Sie die in den folgenden Abschnitten beschriebenen Aufgaben ausführen, die nach der Migration erforderlich sind.
Globale Netzwerk-Firewallrichtlinie mit Ihrem Netzwerk verknüpfen
Das Migrationstool erstellt die globale Netzwerk-Firewallrichtlinie anhand der vorhandenen VPC-Firewallregeln. Sie müssen die Richtlinie manuell mit dem erforderlichen VPC-Netzwerk verknüpfen, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks zu aktivieren. Verwenden Sie zum Verknüpfen der globalen Netzwerk-Firewallrichtlinie den compute network-firewall-policies associations create-Befehl.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Ersetzen Sie dabei Folgendes:
POLICY_NAME: Name der globalen Netzwerkrichtlinie, die Sie mit Ihrem VPC-Netzwerk verknüpfen möchten.NETWORK_NAMEist der Name des VPC-Netzwerks.
Weitere Informationen zum Verknüpfen einer globalen Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
Reihenfolge der Richtlinien- und Regelauswertung ändern
Standardmäßig werden in Cloud Next Generation Firewall die VPC-Firewallregeln vor einer globalen Netzwerk-Firewallrichtlinie ausgewertet. Damit globale Netzwerk-Firewallrichtlinien Vorrang vor VPC-Firewallregeln haben, verwenden Sie den compute networks update-Befehl, um die Reihenfolge der Regelauswertung zu ändern.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Ersetzen Sie NETWORK_NAME durch den Namen Ihres VPC-Netzwerks.
Verwenden Sie den Befehl compute networks get-effective-firewalls, um zu prüfen, ob die globale Netzwerk-Firewallrichtlinie vor den VPC-Firewallregeln ausgewertet wird.
gcloud compute networks get-effective-firewalls NETWORK_NAME
Wenn in der Ausgabe des vorherigen Befehls TYPE: network-firewall-policy vor TYPE: network-firewall angezeigt wird, wird zuerst die globale Netzwerk-Firewallrichtlinie ausgewertet.
Weitere Informationen zur Änderung der Reihenfolge der Richtlinien- und Regelauswertung finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.
Logging von Firewallregeln aktivieren
Anhand von Protokollen können Sie feststellen, ob eine Firewallregel wie gewünscht funktioniert.
Das Migrationstool behält den Logging-Status der vorhandenen VPC-Firewallregeln bei, wenn es die neue globale Netzwerk-Firewallrichtlinie erstellt. Achten Sie darauf, dass die Protokollierung für die Regeln in der globalen Netzwerk-Firewallrichtlinie aktiviert ist.
Verwenden Sie den compute network-firewall-policies rules update-Befehl, um das Logging für Firewallrichtlinienregeln zu aktivieren.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Ersetzen Sie dabei Folgendes:
PRIORITY: Priorität der zu aktualisierenden Regel.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, deren Regel Sie aktualisieren möchten.
Globale Netzwerk-Firewallrichtlinie testen
Bevor Sie Ihre VPC-Firewallregeln löschen, testen Sie Ihre globale Netzwerk-Firewallrichtlinie, um zu prüfen, ob die Richtlinienregeln bei regelkonformem Traffic wie gewünscht funktionieren.
Gehen Sie dazu so vor:
- Achten Sie darauf, dass Sie das Logging für VPC-Firewallregeln und die globale Netzwerk-Firewallrichtlinie aktiviert haben.
- Ändern Sie die Reihenfolge der Regelauswertung so, dass die globale Netzwerk-Firewallrichtlinie vor Ihren VPC-Firewallregeln ausgewertet wird.
- Überwachen Sie die Protokolle, um zu prüfen, ob die globale Netzwerk-Firewallrichtlinie Trefferzahlen hat und die VPC-Firewallregeln gespiegelt werden.
VPC-Firewallregeln aus Ihrem Netzwerk löschen
Wir empfehlen, die VPC-Firewallregeln erst zu deaktivieren, bevor Sie sie vollständig löschen. Sie können zu diesen Regeln zurückkehren, wenn die vom Migrationstool erstellte globale Netzwerk-Firewallrichtlinie nicht die gewünschten Ergebnisse liefert.
Verwenden Sie zum Löschen einer VPC-Firewallregel den Befehl compute firewall-rules update:
gcloud compute firewall-rules update RULE_NAME --disabled
Ersetzen Sie RULE_NAME durch den Namen der VPC-Firewallregel, die deaktiviert werden soll.
Verwenden Sie zum Löschen einer VPC-Firewallregel den Befehl compute firewall-rules delete.
gcloud compute firewall-rules delete RULE_NAME
Nächste Schritte
- Weitere Informationen zur Migration von VPC-Firewallregeln
- VPC-Firewallregeln mit Abhängigkeiten migrieren