Se le regole firewall VPC (Virtual Private Cloud) non utilizzano tag di rete o account di servizio, esegui le seguenti attività per eseguire la migrazione delle regole firewall VPC a un criterio firewall di rete globale:
- Valuta l'ambiente.
- Esegui la migrazione delle regole firewall VPC.
- Esamina il nuovo criterio firewall di rete globale.
- Completa le attività di post-migrazione.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Compute Engine.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Compute Engine.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
- Assicurati di disporre del ruolo Amministratore sicurezza Compute (
roles/compute.securityAdmin).
Valuta il tuo ambiente
- Identifica il numero di regole firewall VPC esistenti nella tua rete.
- Prendi nota delle priorità associate a ogni regola firewall VPC.
- Assicurati di disporre dei ruoli e delle autorizzazioni Identity and Access Management (IAM) necessari per creare, associare, modificare e visualizzare i criteri firewall di rete globali.
Esegui la migrazione delle regole firewall VPC
Dopo aver valutato l'ambiente, esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale utilizzando il comando compute firewall-rules migrate.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
–-target-firewall-policy=POLICY_NAME
Sostituisci quanto segue:
NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.POLICY_NAME: il nome del criterio firewall di rete globale da creare durante la migrazione.
Esamina il nuovo criterio firewall di rete globale
Prima di collegare il nuovo criterio firewall di rete globale a una rete VPC, Google consiglia di esaminare il criterio per garantire che il processo di migrazione sia stato completato in modo accurato.
Verifica la configurazione delle regole dei criteri firewall e controlla se viene eseguita correttamente la migrazione dei seguenti componenti delle regole per ogni regola:
- Priorità relativa
- Direzione del traffico
- Azione in caso di corrispondenza
- Impostazioni log
- Parametri target
- Parametri di origine (per le regole in entrata)
- Parametri di destinazione (per le regole in uscita)
- Vincoli di protocollo e porte
Per ulteriori informazioni sui componenti di una regola del criterio firewall, consulta Regole dei criteri firewall.
Attività di post-migrazione
Per attivare e utilizzare il criterio firewall di rete globale, devi completare le attività di postmigrazione descritte nelle sezioni seguenti.
Associa il criterio firewall di rete globale alla tua rete
Lo strumento di migrazione crea il criterio firewall di rete globale basato sulle regole firewall VPC esistenti. Devi associare manualmente il criterio alla rete VPC richiesta per attivare le regole del criterio per qualsiasi VM all'interno di quella rete. Per associare il criterio firewall di rete globale, utilizza il comando compute network-firewall-policies associations create.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Sostituisci quanto segue:
POLICY_NAME: il nome del criterio di rete globale che vuoi associare alla tua rete VPC.NETWORK_NAME: il nome della tua rete VPC.
Per ulteriori informazioni sull'associazione di un criterio firewall di rete globale a una rete VPC, vedi Associare un criterio alla rete.
Modificare l'ordine di valutazione dei criteri e delle regole
Per impostazione predefinita, il firewall Cloud Next Generation valuta le regole del firewall VPC prima di valutare un criterio firewall di rete globale. Per assicurarti che i criteri firewall di rete globali abbiano la precedenza sulle regole firewall VPC, utilizza il comando compute networks update per modificare l'ordine di valutazione delle regole.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Sostituisci NETWORK_NAME con il nome della tua rete VPC.
Per verificare se il criterio firewall di rete globale viene valutato prima delle regole firewall VPC, utilizza il comando compute networks get-effective-firewalls.
gcloud compute networks get-effective-firewalls NETWORK_NAME
Nell'output del comando precedente, se TYPE: network-firewall-policy viene visualizzato prima del giorno TYPE: network-firewall, viene valutato per primo il criterio firewall di rete globale.
Per ulteriori informazioni sulla modifica dell'ordine di valutazione dei criteri e delle regole, consulta Modifica dell'ordine di valutazione di criteri e regole.
// tslint:disable-next-line:objectLiteralShorthand
Abilita il logging delle regole firewall
Il logging consente di determinare se una regola firewall funziona come previsto.
Lo strumento di migrazione conserva lo stato di logging delle regole firewall VPC esistenti quando crea il nuovo criterio firewall di rete globale. Assicurati che il logging sia abilitato per le regole all'interno del criterio firewall di rete globale.
Per abilitare il logging per le regole dei criteri firewall, utilizza il comando compute network-firewall-policies rules update.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Sostituisci quanto segue:
PRIORITY: la priorità della regola da aggiornare.POLICY_NAME: il nome del criterio firewall di rete globale di cui vuoi aggiornare la regola.
Testa il criterio firewall della rete globale
Prima di eliminare le regole firewall VPC, testa il criterio firewall della rete globale per verificare se le regole dei criteri funzionano in base alle tue aspettative per il traffico corrispondente.
Segui questi passaggi:
- Assicurati di aver abilitato il logging per le regole firewall VPC e il criterio firewall di rete globale.
- Modifica l'ordine di valutazione delle regole in modo che il criterio firewall di rete globale venga valutato prima delle regole firewall VPC.
- Monitora i log per verificare che il criterio firewall di rete globale abbia il numero di hit e che le regole firewall VPC siano sottoposte a shadowing.
Elimina le regole firewall VPC dalla tua rete
Google consiglia di disabilitare le regole firewall VPC prima di eliminarle completamente. Puoi ripristinare queste regole se il criterio firewall di rete globale creato dallo strumento di migrazione non fornisce i risultati previsti.
Per disabilitare una regola firewall VPC, utilizza il comando compute firewall-rules update.
gcloud compute firewall-rules update RULE_NAME --disabled
Sostituisci RULE_NAME con il nome della regola firewall VPC da disabilitare.
Per eliminare una regola firewall VPC, utilizza il comando compute firewall-rules delete.
gcloud compute firewall-rules delete RULE_NAME
Passaggi successivi
- Scopri di più sulla migrazione delle regole firewall VPC.
- Esegui la migrazione delle regole firewall VPC con dipendenze.