Se le regole firewall Virtual Private Cloud (VPC) non utilizzano tag di rete o account di servizio, esegui le seguenti attività per eseguire la migrazione delle regole firewall VPC a un criterio firewall di rete globale:
- Valuta il tuo ambiente.
- Esegui la migrazione delle regole firewall VPC.
- Esamina il nuovo criterio firewall di rete globale.
- Completa le attività di post-migrazione.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Assicurati di disporre del ruolo Amministratore sicurezza Compute (
roles/compute.securityAdmin).
Valutare il tuo ambiente
- Identifica il numero di regole firewall VPC esistenti nella tua rete.
- Prendi nota delle priorità associate a ogni regola del firewall VPC.
- Assicurati di disporre dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) necessari per creare, associare, modificare e visualizzare i criteri firewall di rete globale.
Esegui la migrazione delle regole firewall VPC
Dopo aver valutato l'ambiente, esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale utilizzando il comando compute firewall-rules migrate.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.POLICY_NAME: il nome del criterio firewall di rete globale da creare durante la migrazione.
Escludere le regole firewall dalla migrazione
Per escludere regole firewall specifiche dalla migrazione, utilizza il comando gcloud beta compute
firewall-rules migrate con il flag --exclusion-patterns-file:
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--exclusion-patterns-file=EXCLUSION_PATTERNS_FILE
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC che contiene le regole del firewall VPC di cui vuoi eseguire la migrazione.POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.EXCLUSION_PATTERNS_FILE: il nome del file che contiene le espressioni regolari che definiscono i pattern di denominazione dei firewall VPC da escludere dalla migrazione. Assicurati di specificare il percorso completo del file. Le regole firewall che corrispondono ai pattern specificati vengono ignorate.Quando definisci i pattern di esclusione, tieni presente quanto segue:
- Ogni espressione regolare deve trovarsi su una riga distinta e rappresentare un singolo pattern di denominazione del firewall.
- Le espressioni regolari non contengono spazi iniziali o finali.
Visualizza le regole firewall escluse
In base ai pattern di denominazione delle regole firewall escluse, lo strumento di migrazione non esegue la migrazione di alcune regole firewall, ad esempio quelle di Google Kubernetes Engine (GKE). Per esportare l'elenco dei pattern di denominazione delle regole firewall escluse,
utilizza il comandogcloud beta compute firewall-rules migrate con i flag--export-exclusion-patterns e --exclusion-patterns-file.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
--export-exclusion-patterns
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC che contiene le regole del firewall VPC di cui vuoi eseguire la migrazione.POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.EXCLUSION_PATTERNS_FILE: il percorso del file in cui vengono esportati i seguenti pattern di denominazione delle regole firewall escluse.gke-(.+)-ipv6-all gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd)) k8s-fw-(l7-)?(.+) k8s-(.+)-((node)|(http)|(node-http))-hc (.+)-hc k8s2-(.+)-(.+)-(.+)-(.+)(-fw)? k8s2-(.+)-l4-shared-hc-fw gke((gw)|(mcg))1-l7-(.+)-(.+)
Per eseguire la migrazione delle regole del firewall escluse che corrispondono a un pattern specifico,rimuovi il pattern dall'elenco esportato ed esegui il comando gcloud beta compute
firewall-rules migrate con il flag --exclusion-patterns-file.
Forzare la migrazione mantenendo l'ordine di valutazione
Durante la migrazione, se l'ordine di valutazione di una regola firewall esclusa rientra tra gli ordini di valutazione delle regole firewall specificate dall'utente, la migrazione non va a buon fine.Questo accade perché non viene eseguita la migrazione delle regole firewall escluse e lo strumento di migrazione non può mantenere l'ordine di valutazione originale delle regole definite dall'utente nel nuovo criterio del firewall di rete.
Ad esempio, se le regole del firewall hanno le seguenti priorità, la migrazione non va a buon fine.
- Una regola specificata dall'utente con priorità 100
- Una regola esclusa con priorità 200
- Una regola specificata dall'utente con priorità 300
Per forzare lo strumento di migrazione a eseguire la migrazione delle regole specificate dall'utente mantenendone l'ordine di valutazione originale e ignorando le regole del firewall escluse, utilizza il comando gcloud beta compute firewall-rules migrate con il flag --force.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--force
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC che contiene le regole del firewall VPC di cui vuoi eseguire la migrazione.POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.
Esamina il nuovo criterio firewall di rete globale
Prima di collegare il nuovo criterio firewall di rete globale a una rete VPC, Google consiglia di esaminarlo per assicurarsi che la procedura di migrazione sia stata completata correttamente.
Verifica la configurazione delle regole del criterio firewall e controlla se la migrazione dei seguenti componenti della regola è avvenuta correttamente per ogni regola:
- Priorità relativa
- Direzione del traffico
- Azione in caso di corrispondenza
- Impostazioni di log
- Parametri target
- Parametri di origine (per le regole in entrata)
- Parametri di destinazione (per le regole in uscita)
- Vincoli di protocollo e porta
Per ulteriori informazioni sui componenti di una regola del criterio firewall, consulta Regole del criterio firewall.
Attività post-migrazione
Per attivare e utilizzare il criterio del firewall di rete globale, devi completare le attività di post-migrazione descritte nelle sezioni seguenti.
Associa il criterio firewall di rete globale alla tua rete
Lo strumento di migrazione crea il criterio firewall di rete globale in base alle
regole firewall VPC esistenti. Devi associare manualmente il criterio alla rete VPC richiesta per attivare le regole del criterio per tutte le VM all'interno della rete. Per associare il criterio firewall di rete globale,
utilizza il comando compute network-firewall-policies associations create.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Sostituisci quanto segue:
POLICY_NAME: il nome del criterio di rete globale da associare alla rete VPC.NETWORK_NAME: il nome della rete VPC.
Per ulteriori informazioni sull'associazione di un criterio firewall di rete globale a una rete VPC, consulta Associare un criterio alla rete.
Modificare l'ordine di valutazione delle norme e delle regole
Per impostazione predefinita, Cloud Next Generation Firewall valuta le regole firewall VPC prima di valutare un criterio firewall di rete globale. Per assicurarti che i criteri firewall di rete globali abbiano la precedenza sulle regole firewall VPC, utilizza il comando compute networks update per modificare l'ordine di valutazione delle regole.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Sostituisci NETWORK_NAME con il nome della tua rete VPC.
Per verificare se la policy firewall di rete globale viene valutata prima delle regole firewall VPC, utilizza il comando compute networks get-effective-firewalls.
gcloud compute networks get-effective-firewalls NETWORK_NAME
Nell'output del comando precedente, se TYPE: network-firewall-policy viene visualizzato prima di TYPE: network-firewall, il criterio del firewall di rete globale viene valutato per primo.
Per ulteriori informazioni sulla modifica dell'ordine di valutazione dei criteri e delle regole, consulta Modificare l'ordine di valutazione dei criteri e delle regole.
Attivare il logging delle regole firewall
Il logging ti aiuta a determinare se una regola firewall funziona come previsto.
Lo strumento di migrazione mantiene lo stato di registrazione delle regole firewall VPC esistenti quando crea la nuova policy firewall di rete globale. Assicurati
che la registrazione sia abilitata per le regole all'interno del criterio del firewall di rete globale.
Per attivare il logging per le regole del criterio firewall, utilizza il
comando compute network-firewall-policies rules update.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Sostituisci quanto segue:
PRIORITY: la priorità della regola da aggiornare.POLICY_NAME: il nome della policy di firewall di rete globale di cui vuoi aggiornare la regola.
Testa il criterio firewall di rete globale
Prima di eliminare le regole firewall VPC, testa il criterio firewall di rete globale per verificare se le regole del criterio funzionano in base alle tue aspettative per qualsiasi traffico che corrisponde alle regole.
Segui questi passaggi:
- Assicurati di aver attivato il logging per le regole firewall VPC e per il criterio firewall di rete globale.
- Modifica l'ordine di valutazione delle regole in modo che il criterio firewall di rete globale venga valutato prima delle regole firewall VPC.
- Monitora i log per verificare che il criterio del firewall di rete globale abbia conteggi di hit e che le regole del firewall VPC siano sottoposte a shadowing.
Elimina le regole firewall VPC dalla tua rete
Google consiglia di disattivare prima le regole del firewall VPC prima di eliminarle completamente. Puoi ripristinare queste regole se il criterio firewall di rete globale creato dallo strumento di migrazione non fornisce i risultati aspettati.
Per disattivare una regola firewall VPC, utilizza il
comando compute firewall-rules update.
gcloud compute firewall-rules update RULE_NAME --disabled
Sostituisci RULE_NAME con il nome della regola firewall VPC da disattivare.
Per eliminare una regola firewall VPC, utilizza il
comando compute firewall-rules delete.
gcloud compute firewall-rules delete RULE_NAME
Passaggi successivi
- Scopri di più su come eseguire la migrazione delle regole firewall VPC.
- Esegui la migrazione delle regole firewall VPC con dipendenze.