Memigrasikan aturan firewall VPC yang tidak menggunakan tag jaringan dan akun layanan

Jika aturan firewall Virtual Private Cloud (VPC) Anda tidak menggunakan tag jaringan atau akun layanan, lakukan tugas berikut untuk memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global:

  1. Menilai lingkungan Anda.
  2. Migrasikan aturan firewall VPC.
  3. Tinjau kebijakan firewall jaringan global yang baru.
  4. Selesaikan tugas pascamigrasi.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Aktifkan API Compute Engine.

    Mengaktifkan API

  5. Menginstal Google Cloud CLI.
  6. Untuk initialize gcloud CLI, jalankan perintah berikut:

    gcloud init
  7. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  8. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  9. Aktifkan API Compute Engine.

    Mengaktifkan API

  10. Menginstal Google Cloud CLI.
  11. Untuk initialize gcloud CLI, jalankan perintah berikut:

    gcloud init
  12. Pastikan Anda memiliki peran Admin Keamanan Compute (roles/compute.securityAdmin).

Mengevaluasi lingkungan Anda

  1. Mengidentifikasi jumlah aturan firewall VPC yang ada di jaringan Anda.
  2. Catat prioritas yang terkait dengan setiap aturan firewall VPC.
  3. Pastikan Anda memiliki peran Identity and Access Management (IAM) dan izin yang diperlukan untuk membuat, mengaitkan, mengubah, dan melihat kebijakan firewall jaringan global.

Memigrasikan aturan firewall VPC

Setelah menilai lingkungan Anda, migrasikan aturan firewall VPC Anda ke kebijakan firewall jaringan global menggunakan perintah compute firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    –-target-firewall-policy=POLICY_NAME

Ganti kode berikut:

  • NETWORK_NAME: nama jaringan VPC Anda yang berisi aturan firewall VPC yang ingin Anda migrasikan.
  • POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

Tinjau kebijakan firewall jaringan global baru

Sebelum memasang kebijakan firewall jaringan global baru ke jaringan VPC, Google merekomendasikan agar Anda meninjau kebijakan tersebut untuk membantu memastikan bahwa proses migrasi telah selesai secara akurat.

Verifikasi konfigurasi aturan kebijakan firewall, dan periksa apakah komponen aturan berikut dimigrasikan dengan benar untuk setiap aturan:

  • Prioritas relatif
  • Arah traffic
  • Tindakan jika ada kecocokan
  • Setelan log
  • Parameter target
  • Parameter sumber (untuk aturan masuk)
  • Parameter tujuan (untuk aturan traffic keluar)
  • Batasan protokol dan port

Untuk mengetahui informasi selengkapnya tentang komponen aturan kebijakan firewall, lihat Aturan kebijakan firewall.

Tugas pascamigrasi

Untuk mengaktifkan dan menggunakan kebijakan firewall jaringan global, Anda harus menyelesaikan tugas pascamigrasi yang dibahas di bagian berikut.

Kaitkan kebijakan firewall jaringan global dengan jaringan Anda

Alat migrasi membuat kebijakan firewall jaringan global berdasarkan aturan firewall VPC yang sudah ada. Anda harus mengaitkan kebijakan secara manual dengan jaringan VPC yang diperlukan guna mengaktifkan aturan kebijakan untuk setiap VM dalam jaringan tersebut. Untuk mengaitkan kebijakan firewall jaringan global, gunakan perintah compute network-firewall-policies associations create.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan jaringan global yang ingin Anda kaitkan dengan jaringan VPC.
  • NETWORK_NAME: nama jaringan VPC Anda.

Untuk mengetahui informasi selengkapnya tentang mengaitkan kebijakan firewall jaringan global ke jaringan VPC, lihat Mengaitkan kebijakan dengan jaringan.

Mengubah urutan evaluasi kebijakan dan aturan

Secara default, Cloud Next Generation Firewall mengevaluasi aturan firewall VPC sebelum mengevaluasi kebijakan firewall jaringan global. Untuk memastikan kebijakan firewall jaringan global lebih diprioritaskan daripada aturan firewall VPC, gunakan perintah compute networks update untuk mengubah urutan evaluasi aturan.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

Ganti NETWORK_NAME dengan nama jaringan VPC Anda.

Untuk memverifikasi apakah kebijakan firewall jaringan global dievaluasi sebelum aturan firewall VPC, gunakan perintah compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME

Di output perintah sebelumnya, jika TYPE: network-firewall-policy ditampilkan sebelum TYPE: network-firewall, kebijakan firewall jaringan global akan dievaluasi terlebih dahulu.

Untuk mengetahui informasi selengkapnya mengenai perubahan kebijakan dan urutan evaluasi aturan, lihat Mengubah kebijakan dan urutan evaluasi aturan.

// tslint:disable-next-line:objectLiteralShorthand

Aktifkan logging aturan firewall

Logging membantu Anda menentukan apakah aturan firewall berfungsi sebagaimana mestinya. Alat migrasi mempertahankan status logging aturan firewall VPC yang ada saat membuat kebijakan firewall jaringan global yang baru. Pastikan logging diaktifkan untuk aturan di dalam kebijakan firewall jaringan global. Untuk mengaktifkan logging aturan kebijakan firewall, gunakan perintah compute network-firewall-policies rules update.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

Ganti kode berikut:

  • PRIORITY: prioritas aturan yang akan diperbarui.
  • POLICY_NAME: nama kebijakan firewall jaringan global yang aturannya ingin Anda perbarui.

Menguji kebijakan firewall jaringan global Anda

Sebelum menghapus aturan firewall VPC, uji kebijakan firewall jaringan global Anda untuk memeriksa apakah aturan kebijakan berfungsi sesuai dengan harapan Anda untuk traffic yang cocok dengan aturan.

Lakukan tindakan berikut:

  1. Pastikan Anda telah mengaktifkan logging pada aturan firewall VPC dan kebijakan firewall jaringan global.
  2. Ubah urutan evaluasi aturan, sehingga kebijakan firewall jaringan global dievaluasi sebelum aturan firewall VPC.
  3. Pantau log untuk memverifikasi bahwa kebijakan firewall jaringan global memiliki jumlah hit dan aturan firewall VPC dibayangi.

Menghapus aturan firewall VPC dari jaringan Anda

Google merekomendasikan Anda untuk menonaktifkan aturan firewall VPC terlebih dahulu sebelum menghapusnya sepenuhnya. Anda dapat kembali ke aturan tersebut jika kebijakan firewall jaringan global yang dibuat oleh fitur migrasi gagal memberikan hasil yang diharapkan.

Untuk menonaktifkan aturan firewall VPC, gunakan perintah compute firewall-rules update.

gcloud compute firewall-rules update RULE_NAME --disabled

Ganti RULE_NAME dengan nama aturan firewall VPC yang akan dinonaktifkan.

Untuk menghapus aturan firewall VPC, gunakan perintah compute firewall-rules delete.

gcloud compute firewall-rules delete RULE_NAME

Langkah selanjutnya