Migrer des règles de pare-feu VPC qui n'utilisent pas de tags réseau et de comptes de service

Si vos règles de pare-feu de cloud privé virtuel (VPC) n'utilisent aucun tag réseau ni compte de service, effectuez les tâches suivantes pour les migrer vers une stratégie de pare-feu réseau mondiale :

  1. Évaluez votre environnement.
  2. Migrez les règles de pare-feu VPC.
  3. Examinez la nouvelle stratégie de pare-feu réseau mondiale.
  4. Effectuez les tâches post-migration.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine API.

    Enable the API

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Assurez-vous de disposer du rôle Administrateur de sécurité de Compute (roles/compute.securityAdmin).

Évaluer votre environnement

  1. Identifiez le nombre de règles de pare-feu VPC existantes dans votre réseau.
  2. Notez les priorités associées à chaque règle de pare-feu VPC.
  3. Assurez-vous de disposer des rôles et autorisations IAM (Identity and Access Management) requis pour créer, associer, modifier et afficher des stratégies de pare-feu réseau mondiales.

Migrer les règles de pare-feu VPC

Après avoir évalué votre environnement, migrez vos règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale à l'aide de la commande compute firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    –-target-firewall-policy=POLICY_NAME

Remplacez les éléments suivants :

  • NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer.
  • POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale à créer lors de la migration.

Examiner la nouvelle stratégie de pare-feu réseau mondiale

Avant d'associer la nouvelle stratégie de pare-feu réseau mondiale à un réseau VPC, Google vous recommande de l'examiner pour vous assurer que le processus de migration est bien terminé.

Vérifiez la configuration des règles de stratégie de pare-feu et si les composants de règles suivants sont bien migrés pour chaque règle :

  • Priorité relative
  • Sens du trafic
  • Action en cas de correspondance
  • Paramètres des journaux
  • Paramètres cibles
  • Paramètres sources (pour les règles d'entrée)
  • Paramètres de destination (pour les règles de sortie)
  • Contraintes liées au protocole et au port

Pour en savoir plus sur les composants d'une règle de stratégie de pare-feu, consultez la page Règles de stratégie de pare-feu.

Tâches à effectuer après la migration

Pour activer et utiliser votre stratégie de pare-feu réseau mondiale, vous devez effectuer les tâches post-migration décrites dans les sections suivantes.

Associer la stratégie de pare-feu réseau mondiale à votre réseau

L'outil de migration crée la stratégie de pare-feu réseau mondiale en fonction des règles de pare-feu VPC existantes. Vous devez associer manuellement la stratégie au réseau VPC requis afin d'activer les règles de stratégie pour toutes les VM de ce réseau. Pour associer la stratégie de pare-feu réseau mondiale, exécutez la commande compute network-firewall-policies associations create.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

Remplacez les éléments suivants :

  • POLICY_NAME : nom de la stratégie réseau mondiale que vous souhaitez associer à votre réseau VPC.
  • NETWORK_NAME : nom de votre réseau VPC.

Pour en savoir plus sur l'association d'une stratégie de pare-feu réseau mondiale à un réseau VPC, consultez la section Associer une stratégie au réseau.

Modifier l'ordre d'évaluation des stratégies et des règles

Par défaut, Cloud Next Generation Firewall évalue les règles de pare-feu VPC avant d'évaluer une stratégie de pare-feu réseau mondiale. Pour vous assurer que les stratégies de pare-feu réseau mondiales prévalent sur les règles de pare-feu VPC, modifiez l'ordre d'évaluation des règles à l'aide de la commande compute networks update.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

Remplacez NETWORK_NAME par le nom de votre réseau VPC.

Pour vérifier si la stratégie de pare-feu réseau mondiale est évaluée avant les règles de pare-feu VPC, exécutez la commande compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME

Dans le résultat de la commande précédente, si TYPE: network-firewall-policy est affiché avant TYPE: network-firewall, la stratégie de pare-feu réseau mondiale est évaluée en premier.

Pour en savoir plus sur la modification de l'ordre d'évaluation des stratégies et des règles, consultez la section Modifier l'ordre d'évaluation des stratégies et des règles.

// tslint:disable-next-line:objectLiteralShorthand

Activer la journalisation des règles de pare-feu

La journalisation vous aide à déterminer si une règle de pare-feu fonctionne comme prévu. L'outil de migration conserve l'état de journalisation des règles de pare-feu VPC existantes lors de la création de la stratégie de pare-feu réseau mondiale. Assurez-vous que la journalisation est activée pour les règles de la stratégie de pare-feu réseau mondiale. Pour activer la journalisation des règles de stratégie de pare-feu, exécutez la commande compute network-firewall-policies rules update.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle à mettre à jour.
  • POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale dont vous souhaitez mettre à jour la règle.

Tester votre stratégie de pare-feu de réseau mondiale

Avant de supprimer vos règles de pare-feu VPC, testez votre stratégie de pare-feu réseau mondiale pour vérifier si les règles associées fonctionnent comme prévu pour tout trafic correspondant aux règles.

Procédez comme suit :

  1. Assurez-vous d'avoir activé la journalisation sur les règles de pare-feu VPC et la stratégie de pare-feu réseau mondiale.
  2. Modifiez l'ordre d'évaluation des règles afin que la stratégie de pare-feu réseau mondiale soit évaluée avant vos règles de pare-feu VPC.
  3. Surveillez les journaux pour vérifier que la stratégie de pare-feu réseau mondiale comporte un nombre de déclenchements et que les règles de pare-feu VPC sont bloquées.

Supprimer les règles de pare-feu VPC de votre réseau

Nous vous recommandons de désactiver les règles de pare-feu VPC avant de les supprimer complètement. Vous pouvez rétablir ces règles si la stratégie de pare-feu réseau mondiale créée par l'outil de migration ne fournit pas les résultats attendus.

Pour désactiver une règle de pare-feu VPC, exécutez la commande compute firewall-rules update :

gcloud compute firewall-rules update RULE_NAME --disabled

Remplacez RULE_NAME par le nom de la règle de pare-feu VPC à désactiver.

Pour supprimer une règle de pare-feu VPC, exécutez la commande compute firewall-rules delete :

gcloud compute firewall-rules delete RULE_NAME

Étapes suivantes