Memigrasikan aturan firewall VPC yang tidak menggunakan tag jaringan dan akun layanan

Jika aturan firewall Virtual Private Cloud (VPC) Anda tidak menggunakan tag jaringan atau akun layanan, lakukan tugas berikut untuk memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global:

1. Evaluasi lingkungan Anda.
2. Migrasi aturan firewall VPC.
3. Tinjau kebijakan firewall jaringan global yang baru.
4. Menyelesaikan tugas pascamigrasi.

Sebelum memulai

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Compute Engine API.

   Enable the API

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

8. Make sure that billing is enabled for your Google Cloud project.

9. Enable the Compute Engine API.

   Enable the API

10. Install the Google Cloud CLI.

11. To initialize the gcloud CLI, run the following command:

    gcloud init

12. Pastikan Anda memiliki peran Compute Security Admin (roles/compute.securityAdmin).

Mengevaluasi lingkungan Anda

1. Identifikasi jumlah aturan firewall VPC yang ada di jaringan Anda.
2. Catat prioritas yang terkait dengan setiap aturan firewall VPC.
3. Pastikan Anda memiliki peran dan izin Identity and Access Management (IAM) yang diperlukan untuk membuat, mengaitkan, mengubah, dan melihat kebijakan firewall jaringan global.

Memigrasikan aturan firewall VPC

Setelah menilai lingkungan, migrasikan aturan firewall VPC ke kebijakan firewall jaringan global menggunakan perintah compute firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME

Ganti kode berikut:

• NETWORK_NAME: nama jaringan VPC yang berisi aturan firewall VPC yang ingin Anda migrasikan.
• POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

Mengecualikan aturan firewall dari migrasi

Untuk mengecualikan aturan firewall tertentu dari migrasi, gunakan perintah gcloud beta compute firewall-rules migrate dengan flag --exclusion-patterns-file:

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

Ganti kode berikut:

• NETWORK_NAME: nama jaringan VPC yang berisi aturan firewall VPC yang ingin Anda migrasikan.
• POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

• EXCLUSION_PATTERNS_FILE: nama file yang berisi ekspresi reguler yang menentukan pola penamaan firewall VPC yang akan dikecualikan dari migrasi. Pastikan untuk menentukan jalur lengkap file. Aturan firewall yang cocok dengan pola yang ditentukan akan dilewati.

  Saat menentukan pola pengecualian, pertimbangkan hal berikut:

  • Setiap ekspresi reguler harus berada di barisnya sendiri dan mewakili satu pola penamaan firewall.
  • Ekspresi reguler tidak berisi spasi kosong di awal atau di akhir.

Melihat aturan firewall yang dikecualikan

Berdasarkan pola penamaan aturan firewall yang dikecualikan, alat migrasi tidak memigrasikan beberapa aturan firewall, seperti aturan firewall Google Kubernetes Engine (GKE). Untuk mengekspor daftar pola penamaan aturan firewall yang dikecualikan, gunakan perintah gcloud beta compute firewall-rules migrate dengan flag --export-exclusion-patterns dan --exclusion-patterns-file.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

Ganti kode berikut:

• NETWORK_NAME: nama jaringan VPC yang berisi aturan firewall VPC yang ingin Anda migrasikan.
• POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

• EXCLUSION_PATTERNS_FILE: jalur file tempat pola penamaan aturan firewall yang dikecualikan berikut diekspor.

  gke-(.+)-ipv6-all
  gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
  k8s-fw-(l7-)?(.+)
  k8s-(.+)-((node)|(http)|(node-http))-hc
  (.+)-hc
  k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
  k8s2-(.+)-l4-shared-hc-fw
  gke((gw)|(mcg))1-l7-(.+)-(.+)
  

Untuk memigrasikan aturan firewall yang dikecualikan yang cocok dengan pola tertentu, hapus pola dari daftar yang diekspor dan jalankan perintah gcloud beta compute firewall-rules migrate dengan flag --exclusion-patterns-file.

Memaksa migrasi sambil mempertahankan urutan evaluasi

Selama migrasi, jika urutan evaluasi aturan firewall yang dikecualikan berada di antara urutan evaluasi aturan firewall yang ditentukan pengguna, migrasi akan gagal.Hal ini terjadi karena aturan firewall yang dikecualikan tidak dimigrasikan, dan alat migrasi tidak dapat mempertahankan urutan evaluasi asli aturan yang ditentukan pengguna dalam kebijakan firewall jaringan baru.

Misalnya, jika aturan firewall Anda memiliki prioritas berikut, migrasi akan gagal.

• Aturan yang ditentukan pengguna dengan prioritas 100
• Aturan yang dikecualikan dengan prioritas 200
• Aturan yang ditentukan pengguna dengan prioritas 300

Untuk memaksa alat migrasi memigrasikan aturan yang ditentukan pengguna sekaligus mempertahankan urutan evaluasi aslinya dan mengabaikan aturan firewall yang dikecualikan, gunakan perintah gcloud beta compute firewall-rules migrate dengan flag --force.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

Ganti kode berikut:

• NETWORK_NAME: nama jaringan VPC yang berisi aturan firewall VPC yang ingin Anda migrasikan.
• POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

Meninjau kebijakan firewall jaringan global yang baru

Sebelum melampirkan kebijakan firewall jaringan global baru ke jaringan VPC, Google merekomendasikan agar Anda meninjau kebijakan tersebut untuk membantu memastikan bahwa proses migrasi telah selesai dengan akurat.

Verifikasi konfigurasi aturan kebijakan firewall, dan periksa apakah komponen aturan berikut dimigrasikan dengan benar untuk setiap aturan:

• Prioritas relatif
• Direction of traffic
• Tindakan jika ada kecocokan
• Setelan log
• Parameter target
• Parameter sumber (untuk aturan masuk)
• Parameter tujuan (untuk aturan keluar)
• Batasan protokol dan port

Untuk mengetahui informasi selengkapnya tentang komponen aturan kebijakan firewall, lihat Aturan kebijakan firewall.

Tugas pascamigrasi

Untuk mengaktifkan dan menggunakan kebijakan firewall jaringan global, Anda harus menyelesaikan tugas pascamigrasi yang dibahas di bagian berikut.

Mengaitkan kebijakan firewall jaringan global dengan jaringan Anda

Alat migrasi membuat kebijakan firewall jaringan global berdasarkan aturan firewall VPC yang ada. Anda harus mengaitkan kebijakan secara manual dengan jaringan VPC yang diperlukan untuk mengaktifkan aturan kebijakan bagi VM dalam jaringan tersebut. Untuk mengaitkan kebijakan firewall jaringan global, gunakan perintah compute network-firewall-policies associations create.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

Ganti kode berikut:

• POLICY_NAME: nama kebijakan jaringan global yang ingin Anda kaitkan dengan jaringan VPC.
• NETWORK_NAME: nama jaringan VPC Anda.

Untuk mengetahui informasi selengkapnya tentang cara mengaitkan kebijakan firewall jaringan global ke jaringan VPC, lihat Mengaitkan kebijakan dengan jaringan.

Mengubah urutan evaluasi kebijakan dan aturan

Secara default, Cloud Next Generation Firewall mengevaluasi aturan firewall VPC sebelum mengevaluasi kebijakan firewall jaringan global. Untuk memastikan bahwa kebijakan firewall jaringan global lebih diutamakan daripada aturan firewall VPC, gunakan perintah compute networks update untuk mengubah urutan evaluasi aturan.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

Ganti NETWORK_NAME dengan nama jaringan VPC Anda.

Untuk memverifikasi apakah kebijakan firewall jaringan global dievaluasi sebelum aturan firewall VPC, gunakan perintah compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME

Dalam output perintah sebelumnya, jika TYPE: network-firewall-policy ditampilkan sebelum TYPE: network-firewall, kebijakan firewall jaringan global akan dievaluasi terlebih dahulu.

Untuk mengetahui informasi selengkapnya tentang perubahan urutan evaluasi kebijakan dan aturan, lihat Mengubah urutan evaluasi kebijakan dan aturan.

Mengaktifkan logging aturan firewall

Logging membantu Anda menentukan apakah aturan firewall berfungsi sebagaimana mestinya. Alat migrasi mempertahankan status logging aturan firewall VPC yang ada saat membuat kebijakan firewall jaringan global baru. Pastikan logging diaktifkan untuk aturan di dalam kebijakan firewall jaringan global. Untuk mengaktifkan logging untuk aturan kebijakan firewall, gunakan perintah compute network-firewall-policies rules update.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

Ganti kode berikut:

• PRIORITY: prioritas aturan yang akan diperbarui.
• POLICY_NAME: nama kebijakan firewall jaringan global yang aturannya ingin Anda perbarui.

Menguji kebijakan firewall jaringan global

Sebelum menghapus aturan firewall VPC, uji kebijakan firewall jaringan global untuk memeriksa apakah aturan kebijakan berfungsi sesuai dengan ekspektasi Anda untuk traffic yang cocok dengan aturan.

Lakukan tindakan berikut:

1. Pastikan Anda telah mengaktifkan logging di aturan firewall VPC dan kebijakan firewall jaringan global.
2. Ubah urutan evaluasi aturan, sehingga kebijakan firewall jaringan global dievaluasi sebelum aturan firewall VPC Anda.
3. Pantau log untuk memverifikasi bahwa kebijakan firewall jaringan global memiliki jumlah hit dan aturan firewall VPC di-shadow.

Menghapus aturan firewall VPC dari jaringan Anda

Google merekomendasikan agar Anda menonaktifkan aturan firewall VPC terlebih dahulu sebelum menghapusnya sepenuhnya. Anda dapat kembali ke aturan tersebut jika kebijakan firewall jaringan global yang dibuat oleh alat migrasi gagal memberikan hasil yang diharapkan.

Untuk menonaktifkan aturan firewall VPC, gunakan perintah compute firewall-rules update.

gcloud compute firewall-rules update RULE_NAME --disabled

Ganti RULE_NAME dengan nama aturan firewall VPC yang akan dinonaktifkan.

Untuk menghapus aturan firewall VPC, gunakan perintah compute firewall-rules delete.

gcloud compute firewall-rules delete RULE_NAME

Langkah berikutnya

• Pelajari lebih lanjut cara memigrasikan aturan firewall VPC.
• Migrasikan aturan firewall VPC dengan dependensi.