Wenn Ihre VPC-Firewallregeln keine Netzwerk-Tags oder Dienstkonten verwenden, führen Sie die folgenden Aufgaben aus, um die VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie zu migrieren:
- Umgebung bewerten
- VPC-Firewallregeln migrieren
- Neue globale Richtlinie für Netzwerkfirewalls überprüfen
- Nach der Migration erforderliche Aufgaben ausführen
Hinweise
- Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
-
Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
-
Compute Engine API aktivieren.
- Installieren Sie die Google Cloud CLI.
-
Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:
gcloud init
-
Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
-
Compute Engine API aktivieren.
- Installieren Sie die Google Cloud CLI.
-
Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:
gcloud init
- Sie benötigen die Rolle Compute-Sicherheitsadministrator (
roles/compute.securityAdmin).
Umgebung bewerten
- Ermitteln Sie die Anzahl der vorhandenen VPC-Firewallregeln in Ihrem Netzwerk.
- Notieren Sie sich die mit jeder VPC-Firewallregel verknüpften Prioritäten.
- Prüfen Sie, ob Sie die erforderlichen IAM-Rollen und -Berechtigungen (Identity and Access Management) zum Erstellen, Verknüpfen, Ändern und Aufrufen globaler Netzwerk-Firewallrichtlinien haben.
VPC-Firewallregeln migrieren
Nachdem Sie Ihre Umgebung geprüft haben, migrieren Sie die VPC-Firewallregeln mit dem Befehl compute firewall-rules migrate zu einer globalen Netzwerk-Firewallrichtlinie.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
–-target-firewall-policy=POLICY_NAME
Ersetzen Sie Folgendes:
NETWORK_NAME: der Name Ihres VPC-Netzwerks mit den VPC-Firewallregeln, die Sie migrieren möchten.POLICY_NAME: der Name der globalen Netzwerk-Firewallrichtlinie, die während der Migration erstellt werden soll.
Neue globale Netzwerk-Firewallrichtlinie prüfen
Bevor Sie die neue globale Netzwerk-Firewallrichtlinie an ein VPC-Netzwerk anhängen, empfiehlt Google, die Richtlinie zu lesen, um sicherzustellen, dass der Migrationsprozess korrekt abgeschlossen wurde.
Prüfen Sie die Konfiguration der Firewallrichtlinien-Regeln und prüfen Sie, ob die folgenden Regelkomponenten für jede Regel ordnungsgemäß migriert werden:
- Relative Priorität
- Traffic-Richtung
- Aktion bei Übereinstimmung
- Log-Einstellungen
- Zielparameter
- Quellparameter (für Regeln für eingehenden Traffic)
- Zielparameter (für Regeln für ausgehenden Traffic)
- Protokoll- und Porteinschränkungen
Weitere Informationen zu den Komponenten einer Firewallrichtlinienregel finden Sie unter Firewallrichtlinienregeln.
Nach der Migration erforderliche Aufgaben
Um Ihre globale Netzwerk-Firewallrichtlinie zu aktivieren und zu verwenden, müssen Sie die in den folgenden Abschnitten beschriebenen Aufgaben ausführen, die nach der Migration erforderlich sind.
Globale Netzwerk-Firewallrichtlinie mit Ihrem Netzwerk verknüpfen
Das Migrationstool erstellt die globale Netzwerk-Firewallrichtlinie anhand der vorhandenen VPC-Firewallregeln. Sie müssen die Richtlinie manuell mit dem erforderlichen VPC-Netzwerk verknüpfen, um die Richtlinienregeln für alle VMs innerhalb dieses Netzwerks zu aktivieren. Verwenden Sie zum Verknüpfen der globalen Netzwerk-Firewallrichtlinie den Befehl compute network-firewall-policies associations create.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Ersetzen Sie Folgendes:
POLICY_NAME: der Name der globalen Netzwerkrichtlinie, die Sie mit Ihrem VPC-Netzwerk verknüpfen möchten.NETWORK_NAMEist der Name des VPC-Netzwerks.
Weitere Informationen zum Verknüpfen einer globalen Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
Reihenfolge der Richtlinien- und Regelauswertung ändern
Standardmäßig wertet Cloud Next Generation Firewall die VPC-Firewallregeln aus, bevor eine globale Netzwerk-Firewallrichtlinie ausgewertet wird. Verwenden Sie den Befehl compute networks update, um die Reihenfolge der Regelauswertung zu ändern, damit globale Netzwerk-Firewallrichtlinien Vorrang vor VPC-Firewallregeln haben.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Ersetzen Sie NETWORK_NAME durch den Namen Ihres VPC-Netzwerks.
Verwenden Sie den Befehl compute networks get-effective-firewalls, um zu prüfen, ob die globale Netzwerk-Firewallrichtlinie vor den VPC-Firewallregeln ausgewertet wird.
gcloud compute networks get-effective-firewalls NETWORK_NAME
Wenn in der Ausgabe des vorherigen Befehls TYPE: network-firewall-policy vor TYPE: network-firewall angezeigt wird, wird die globale Netzwerk-Firewallrichtlinie zuerst ausgewertet.
Weitere Informationen zur Änderung der Reihenfolge der Richtlinien- und Regelauswertung finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.
// tslint:disable-next-line:objectLiteralShorthand
Logging von Firewallregeln aktivieren
Mit Logging können Sie feststellen, ob eine Firewallregel wie vorgesehen funktioniert.
Das Migrationstool behält den Logging-Status der vorhandenen VPC-Firewallregeln bei, wenn es die neue globale Netzwerk-Firewallrichtlinie erstellt. Achten Sie darauf, dass Logging für die Regeln in der globalen Netzwerk-Firewallrichtlinie aktiviert ist.
Verwenden Sie den Befehl compute network-firewall-policies rules update, um das Logging für Firewallrichtlinienregeln zu aktivieren.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Ersetzen Sie Folgendes:
PRIORITY: die Priorität der zu aktualisierenden Regel.POLICY_NAME: Name der globalen Netzwerk-Firewallrichtlinie, deren Regel Sie aktualisieren möchten.
Globale Netzwerk-Firewallrichtlinie testen
Testen Sie vor dem Löschen der VPC-Firewallregeln Ihre globale Netzwerk-Firewallrichtlinie, um zu prüfen, ob die Richtlinienregeln gemäß Ihren Erwartungen für Traffic funktionieren, der mit den Regeln übereinstimmt.
Gehen Sie dazu so vor:
- Achten Sie darauf, dass das Logging für VPC-Firewallregeln und die globale Netzwerk-Firewallrichtlinie aktiviert ist.
- Ändern Sie die Reihenfolge der Regelauswertung, damit die globale Netzwerk-Firewallrichtlinie vor Ihren VPC-Firewallregeln ausgewertet wird.
- Überwachen Sie die Logs, um zu prüfen, ob die globale Netzwerk-Firewallrichtlinie die Trefferanzahl hat und die VPC-Firewallregeln verdeckt werden.
VPC-Firewallregeln aus Ihrem Netzwerk löschen
Google empfiehlt, dass Sie die VPC-Firewallregeln zuerst deaktivieren, bevor Sie sie vollständig löschen. Sie können diese Regeln wiederherstellen, wenn die vom Migrationstool erstellte globale Netzwerk-Firewallrichtlinie nicht die erwarteten Ergebnisse liefert.
Verwenden Sie zum Löschen einer VPC-Firewallregel den Befehl compute firewall-rules update:
gcloud compute firewall-rules update RULE_NAME --disabled
Ersetzen Sie RULE_NAME durch den Namen der VPC-Firewallregel, die deaktiviert werden soll.
Verwenden Sie zum Löschen einer VPC-Firewallregel den Befehl compute firewall-rules delete.
gcloud compute firewall-rules delete RULE_NAME
Nächste Schritte
- Weitere Informationen zum Migrieren von VPC-Firewallregeln
- VPC-Firewallregeln mit Abhängigkeiten migrieren