Se le regole firewall VPC (Virtual Private Cloud) non utilizzano tag di rete o account di servizio, esegui le seguenti attività per eseguire la migrazione delle regole firewall VPC a un criterio firewall di rete globale:
- Valuta il tuo ambiente.
- Esegui la migrazione delle regole firewall VPC.
- Esamina il nuovo criterio firewall di rete globale.
- Completa le attività di post-migrazione.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Assicurati di disporre del ruolo Amministratore della sicurezza di Compute (
roles/compute.securityAdmin).
Valutare il tuo ambiente
- Identifica il numero di regole firewall VPC esistenti nella tua rete.
- Prendi nota delle priorità associate a ciascun firewall VPC personalizzata.
- Assicurati di disporre delle autorizzazioni e dei ruoli di Identity and Access Management (IAM) richiesti per creare, associare, modificare e visualizzare i criteri firewall di rete globali.
Esegui la migrazione delle regole firewall VPC
Dopo aver valutato l'ambiente, esegui la migrazione del firewall VPC
a un criterio firewall di rete globale utilizzando
Comando compute firewall-rules migrate.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
–-target-firewall-policy=POLICY_NAME
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.POLICY_NAME: il nome del criterio firewall di rete globale da impostare che verranno create durante la migrazione.
Rivedi il nuovo criterio firewall di rete globale
Prima di collegare il nuovo criterio firewall di rete globale a una rete VPC, Google consiglia di esaminarlo per assicurarsi che la procedura di migrazione sia stata completata correttamente.
Verifica la configurazione delle regole del criterio del firewall e controlla se i seguenti componenti della regola sono stati migrati correttamente per ogni regola:
- Priorità relativa
- Direzione del traffico
- Azione in caso di corrispondenza
- Impostazioni di log
- Parametri target
- Parametri di origine (per le regole in entrata)
- Parametri di destinazione (per le regole in uscita)
- Vincoli di protocolli e porte
Per ulteriori informazioni sui componenti di una regola del criterio firewall, consulta Regole del criterio firewall.
Attività di post migrazione
Per attivare e utilizzare il criterio firewall di rete globale, devi completare le attività di post-migrazione descritte nelle sezioni seguenti.
Associa il criterio firewall di rete globale alla tua rete
Lo strumento di migrazione crea il criterio firewall di rete globale in base alle regole firewall VPC esistenti. Devi associare manualmente il criterio alla rete VPC richiesta per attivare le regole del criterio per tutte le VM all'interno della rete. Per associare il criterio firewall di rete globale,
usa il comando compute network-firewall-policies associations create.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Sostituisci quanto segue:
POLICY_NAME: il nome del criterio di rete globale da associare alla rete VPC.NETWORK_NAME: il nome della rete VPC.
Per ulteriori informazioni sull'associazione di un criterio firewall di rete globale a un rete VPC, vedi Associa un criterio alla rete.
Modificare l'ordine di valutazione di criteri e regole
Per impostazione predefinita, Cloud Next Generation Firewall valuta il VPC
regole firewall prima che venga valutato un criterio firewall di rete globale. Per assicurarti che i criteri firewall di rete globali abbiano la precedenza sulle regole firewall VPC, utilizza il comando compute networks update per modificare l'ordine di valutazione delle regole.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Sostituisci NETWORK_NAME con il nome della tua rete VPC.
per verificare se il criterio firewall di rete globale viene valutato prima del VPC
regole firewall, utilizza
Comando compute networks get-effective-firewalls.
gcloud compute networks get-effective-firewalls NETWORK_NAME
Nell'output del comando precedente, se TYPE: network-firewall-policy è
visualizzato prima di TYPE: network-firewall, il criterio firewall di rete globale
viene valutato per primo.
Per saperne di più sulla modifica dell'ordine di valutazione di criteri e regole, consulta Modificare l'ordine di valutazione di criteri e regole.
// tslint:disable-next-line:objectLiteralShorthand
Abilita il logging delle regole firewall
Il logging ti aiuta a determinare se una regola firewall funziona come previsto.
Lo strumento di migrazione mantiene lo stato di registrazione delle regole firewall VPC esistenti quando crea il nuovo criterio firewall di rete globale. Assicurati che
che il logging sia abilitato per le regole all'interno del criterio firewall di rete globale.
Per attivare il logging per le regole del criterio firewall, utilizza il comando compute network-firewall-policies rules update.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Sostituisci quanto segue:
PRIORITY: la priorità della regola da aggiornare.POLICY_NAME: il nome del criterio firewall di rete globale di cui vuoi aggiornare la regola.
Testa il criterio firewall di rete globale
Prima di eliminare le regole firewall VPC, testa il criterio firewall di rete globale per verificare se le regole del criterio funzionano in base alle tue aspettative per qualsiasi traffico che corrisponde alle regole.
Segui questi passaggi:
- Assicurati di aver abilitato il logging sulle regole firewall VPC e il criterio firewall di rete globale.
- Cambiare l'ordine di valutazione delle regole, in modo che il criterio firewall di rete globale viene valutato prima delle regole firewall VPC.
- Monitora i log per verificare che il criterio firewall di rete globale abbia il numero di hit e Le regole firewall VPC sono con shadowing.
Elimina le regole firewall VPC dalla tua rete
Google consiglia di disattivare prima le regole del firewall VPC prima di eliminarle completamente. Puoi ripristinare queste regole se il criterio firewall di rete globale creato dallo strumento di migrazione non fornisce i risultati previsti.
Per disabilitare una regola firewall VPC, utilizza il metodo
Comando compute firewall-rules update.
gcloud compute firewall-rules update RULE_NAME --disabled
Sostituisci RULE_NAME con il nome della regola firewall VPC
da disattivare.
Per eliminare una regola firewall VPC, utilizza
Comando compute firewall-rules delete.
gcloud compute firewall-rules delete RULE_NAME
Passaggi successivi
- Scopri di più sulla migrazione delle regole firewall VPC.
- Esegui la migrazione delle regole firewall VPC con dipendenze.