Si tus reglas de firewall de la nube privada virtual (VPC) no usan ninguna etiqueta de red ni cuenta de servicio, ejecuta las siguientes tareas para migrar las reglas de firewall de VPC a una política de firewall de red global:
- Evalúa el entorno.
- Migra las reglas de firewall de VPC.
- Revisa la nueva política de firewall de red global.
- Completa las tareas posteriores a la migración.
Antes de empezar
- Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Habilita la API de Compute Engine.
- Instala Google Cloud CLI.
-
Para inicializar la CLI de gcloud, ejecuta el siguiente comando:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Habilita la API de Compute Engine.
- Instala Google Cloud CLI.
-
Para inicializar la CLI de gcloud, ejecuta el siguiente comando:
gcloud init
- Asegúrate de tener el rol de Administrador de seguridad de Compute (
roles/compute.securityAdmin).
Evalúa el entorno
- Identifica la cantidad de reglas de firewall de VPC existentes en tu red.
- Toma nota de las prioridades asociadas con cada regla de firewall de VPC.
- Asegúrate de tener los roles y los permisos de Identity and Access Management (IAM) necesarios para crear, asociar, modificar y ver políticas de firewall de red globales.
Migra las reglas de firewall de VPC
Después de evaluar tu entorno, migra tus reglas de firewall de VPC
a una política de firewall de red global con el
comando compute firewall-rules migrate.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
–-target-firewall-policy=POLICY_NAME
Reemplaza lo siguiente:
NETWORK_NAME: El nombre de la red de VPC que contiene las reglas de firewall de VPC que deseas migrar.POLICY_NAME: Es el nombre de la política de firewall de red global que se creará durante la migración.
Revisa la nueva política de firewall de red global
Antes de adjuntar la nueva política de firewall de red global a una red de VPC, Google recomienda que revises la política para asegurarte de que el proceso de migración se haya completado con exactitud.
Comprueba la configuración de las reglas de la política de firewall y si los siguientes componentes de reglas se migran de forma correcta para cada regla:
- Prioridad relativa
- Dirección del tráfico
- Acción en caso de coincidencia
- Configuración de registros
- Parámetros de destino
- Parámetros de origen (para reglas de entrada)
- Parámetros de destino (para reglas de salida)
- Restricciones de protocolos y puertos
Para obtener más información sobre los componentes de una regla de política de firewall, consulta Reglas de política de firewall.
Tareas posteriores a la migración
Para activar y usar tu política de firewall de red global, debes completar las tareas posteriores a la migración que se analizan en las siguientes secciones.
Asocia la política de firewall de red global con tu red
La herramienta de migración crea la política de firewall de red global basada en las
reglas de firewall de VPC existentes. Debes asociar la política de forma manual
con la red de VPC requerida y activar las reglas de la política para cualquier VM dentro de esa red. Para asociar la política de firewall de red global,
usa el comando compute network-firewall-policies associations create.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Reemplaza lo siguiente:
POLICY_NAME: Es el nombre de la política de red global que deseas asociar a la red de VPC.NETWORK_NAME: El nombre de tu red de VPC.
Para obtener más información sobre cómo asociar una política de firewall de red global a una red de VPC, consulta Asocia una política con la red.
Cambia el orden de evaluación de políticas y reglas
De forma predeterminada, el firewall de nueva generación de Cloud evalúa las reglas de firewall de VPC
antes de evaluar una política de firewall de red global. Para asegurarte
de que las políticas de firewall de red globales tengan prioridad sobre las reglas de firewall de VPC,
usa el comando compute networks update para cambiar el orden de evaluación de la regla.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Reemplaza NETWORK_NAME por el nombre de la red de VPC.
Para comprobar si la política de firewall de red global se evalúa antes que las reglas de firewall de VPC,
usa el
comando compute networks get-effective-firewalls.
gcloud compute networks get-effective-firewalls NETWORK_NAME
En el resultado del comando anterior, si TYPE: network-firewall-policy se
muestra antes de TYPE: network-firewall, primero se evalúa la política de firewall
de red global.
Para obtener más información sobre el cambio en el orden de evaluación de políticas y reglas, consulta Cambia el orden de evaluación de políticas y reglas.
// tslint:disable-next-line:objectLiteralShorthand
Habilita el registro de reglas de firewall
El registro te ayuda a determinar si una regla de firewall funciona según lo previsto.
La herramienta de migración conserva el estado de registro de las reglas de firewall de VPC existentes cuando crea la nueva política de firewall de red global. Asegúrate
de que el registro esté habilitado para las reglas dentro de la política de firewall de red global.
Para habilitar el registro de las reglas de políticas de firewall, usa el
comando compute network-firewall-policies rules update.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Reemplaza lo siguiente:
PRIORITY: La prioridad de la regla que se actualizará.POLICY_NAME: Es el nombre de la política de firewall de red global cuya regla deseas actualizar.
Prueba la política de firewall de red global
Antes de borrar las reglas de firewall de VPC, prueba tu política de firewall de red global y comprueba si las reglas de la política funcionan de acuerdo con tus expectativas para el tráfico que coincida con las reglas.
Puedes hacer lo siguiente:
- Asegúrate de haber habilitado el registro en las reglas de firewall de VPC y la política de firewall de red global.
- Cambia el orden de evaluación de reglas para que la política de firewall de red global se evalúe antes que tus reglas de firewall de VPC.
- Supervisa los registros para verificar que la política de firewall de red global tenga recuentos de hits y que las reglas de firewall de VPC estén bloqueadas.
Borra las reglas de firewall de VPC de tu red
Google recomienda que inhabilites las reglas de firewall de VPC antes de borrarlas por completo. Puedes volver a esas reglas si la política de firewall de red global que creó la herramienta de migración no proporciona los resultados esperados.
Para borrar una regla de firewall de VPC, usa el
comando compute firewall-rules update.
gcloud compute firewall-rules update RULE_NAME --disabled
Reemplaza RULE_NAME por el nombre de la regla de firewall de VPC que se inhabilitará.
Para borrar una regla de firewall de VPC, usa el comando compute firewall-rules delete.
gcloud compute firewall-rules delete RULE_NAME
¿Qué sigue?
- Obtén más información para conocer cómo migrar las reglas de firewall de VPC.
- Migra las reglas de firewall de VPC con dependencias.