Migra reglas de firewall de VPC que no usan etiquetas de red y cuentas de servicio

Si tus reglas de firewall de la nube privada virtual (VPC) no usan ninguna etiqueta de red ni cuenta de servicio, ejecuta las siguientes tareas para migrar las reglas de firewall de VPC a una política de firewall de red global:

  1. Evalúa el entorno.
  2. Migra las reglas de firewall de VPC.
  3. Revisa la nueva política de firewall de red global.
  4. Completa las tareas posteriores a la migración.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine API.

    Enable the API

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Asegúrate de tener el rol de Administrador de seguridad de Compute (roles/compute.securityAdmin).

Evalúa el entorno

  1. Identifica la cantidad de reglas de firewall de VPC existentes en tu red.
  2. Toma nota de las prioridades asociadas con cada regla de firewall de VPC.
  3. Asegúrate de tener los roles y los permisos de Identity and Access Management (IAM) necesarios para crear, asociar, modificar y ver políticas de firewall de red globales.

Migra las reglas de firewall de VPC

Después de evaluar tu entorno, migra tus reglas de firewall de VPC a una política de firewall de red global con el comando compute firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    –-target-firewall-policy=POLICY_NAME

Reemplaza lo siguiente:

  • NETWORK_NAME: El nombre de la red de VPC que contiene las reglas de firewall de VPC que deseas migrar.
  • POLICY_NAME: Es el nombre de la política de firewall de red global que se creará durante la migración.

Revisa la nueva política de firewall de red global

Antes de adjuntar la nueva política de firewall de red global a una red de VPC, Google recomienda que revises la política para asegurarte de que el proceso de migración se haya completado con exactitud.

Comprueba la configuración de las reglas de la política de firewall y si los siguientes componentes de reglas se migran de forma correcta para cada regla:

  • Prioridad relativa
  • Dirección del tráfico
  • Acción en caso de coincidencia
  • Configuración de registros
  • Parámetros de destino
  • Parámetros de origen (para reglas de entrada)
  • Parámetros de destino (para reglas de salida)
  • Restricciones de protocolos y puertos

Para obtener más información sobre los componentes de una regla de política de firewall, consulta Reglas de política de firewall.

Tareas posteriores a la migración

Para activar y usar tu política de firewall de red global, debes completar las tareas posteriores a la migración que se analizan en las siguientes secciones.

Asocia la política de firewall de red global con tu red

La herramienta de migración crea la política de firewall de red global basada en las reglas de firewall de VPC existentes. Debes asociar la política de forma manual con la red de VPC requerida y activar las reglas de la política para cualquier VM dentro de esa red. Para asociar la política de firewall de red global, usa el comando compute network-firewall-policies associations create.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

Reemplaza lo siguiente:

  • POLICY_NAME: Es el nombre de la política de red global que deseas asociar a la red de VPC.
  • NETWORK_NAME: El nombre de tu red de VPC.

Para obtener más información sobre cómo asociar una política de firewall de red global a una red de VPC, consulta Asocia una política con la red.

Cambia el orden de evaluación de políticas y reglas

De forma predeterminada, el firewall de nueva generación de Cloud evalúa las reglas de firewall de VPC antes de evaluar una política de firewall de red global. Para asegurarte de que las políticas de firewall de red globales tengan prioridad sobre las reglas de firewall de VPC, usa el comando compute networks update para cambiar el orden de evaluación de la regla.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

Reemplaza NETWORK_NAME por el nombre de la red de VPC.

Para comprobar si la política de firewall de red global se evalúa antes que las reglas de firewall de VPC, usa el comando compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME

En el resultado del comando anterior, si TYPE: network-firewall-policy se muestra antes de TYPE: network-firewall, primero se evalúa la política de firewall de red global.

Para obtener más información sobre el cambio en el orden de evaluación de políticas y reglas, consulta Cambia el orden de evaluación de políticas y reglas.

// tslint:disable-next-line:objectLiteralShorthand

Habilita el registro de reglas de firewall

El registro te ayuda a determinar si una regla de firewall funciona según lo previsto. La herramienta de migración conserva el estado de registro de las reglas de firewall de VPC existentes cuando crea la nueva política de firewall de red global. Asegúrate de que el registro esté habilitado para las reglas dentro de la política de firewall de red global. Para habilitar el registro de las reglas de políticas de firewall, usa el comando compute network-firewall-policies rules update.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

Reemplaza lo siguiente:

  • PRIORITY: La prioridad de la regla que se actualizará.
  • POLICY_NAME: Es el nombre de la política de firewall de red global cuya regla deseas actualizar.

Prueba la política de firewall de red global

Antes de borrar las reglas de firewall de VPC, prueba tu política de firewall de red global y comprueba si las reglas de la política funcionan de acuerdo con tus expectativas para el tráfico que coincida con las reglas.

Puedes hacer lo siguiente:

  1. Asegúrate de haber habilitado el registro en las reglas de firewall de VPC y la política de firewall de red global.
  2. Cambia el orden de evaluación de reglas para que la política de firewall de red global se evalúe antes que tus reglas de firewall de VPC.
  3. Supervisa los registros para verificar que la política de firewall de red global tenga recuentos de hits y que las reglas de firewall de VPC estén bloqueadas.

Borra las reglas de firewall de VPC de tu red

Google recomienda que inhabilites las reglas de firewall de VPC antes de borrarlas por completo. Puedes volver a esas reglas si la política de firewall de red global que creó la herramienta de migración no proporciona los resultados esperados.

Para borrar una regla de firewall de VPC, usa el comando compute firewall-rules update.

gcloud compute firewall-rules update RULE_NAME --disabled

Reemplaza RULE_NAME por el nombre de la regla de firewall de VPC que se inhabilitará.

Para borrar una regla de firewall de VPC, usa el comando compute firewall-rules delete.

gcloud compute firewall-rules delete RULE_NAME

¿Qué sigue?