네트워크 태그 및 서비스 계정을 사용하지 않는 VPC 방화벽 규칙 마이그레이션

가상 프라이빗 클라우드(VPC) 방화벽 규칙이 네트워크 태그 또는 서비스 계정을 사용하지 않는 경우 다음 태스크를 수행하여 VPC 방화벽 규칙을 전역 네트워크 방화벽 정책으로 마이그레이션합니다.

  1. 환경 평가
  2. VPC 방화벽 규칙을 마이그레이션
  3. 새 전역 네트워크 방화벽 정책 검토
  4. 마이그레이션 후 태스크 완료

시작하기 전에

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine API.

    Enable the API

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Compute 보안 관리자 역할(roles/compute.securityAdmin)이 있는지 확인합니다.

환경 평가

  1. 네트워크에서 기존 VPC 방화벽 규칙 수를 확인합니다.
  2. 각 VPC 방화벽 규칙과 연결된 우선순위를 기록합니다.
  3. 전역 네트워크 방화벽 정책을 생성, 연결, 수정, 보기위해 필요한 Identity and Access Management (IAM) 역할 및 권한이 있는지 확인합니다.

VPC 방화벽 규칙 마이그레이션

환경을 평가한 후 compute firewall-rules migrate 명령어를 사용하여 VPC 방화벽 규칙을 전역 네트워크 방화벽 정책으로 마이그레이션합니다.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    –-target-firewall-policy=POLICY_NAME

다음을 바꿉니다.

  • NETWORK_NAME: 마이그레이션하려는 VPC 방화벽 규칙이 포함된 VPC 네트워크의 이름입니다.
  • POLICY_NAME: 마이그레이션 중에 만들 전역 네트워크 방화벽 정책의 이름입니다.

새 전역 네트워크 방화벽 정책 검토

새 전역 네트워크 방화벽 정책을 VPC 네트워크에 연결하기 전에 정책을 검토하여 마이그레이션 프로세스가 정확하게 완료되었는지 확인하는 것이 좋습니다.

방화벽 정책 규칙 구성을 확인하고 각 규칙에 대해 다음 규칙 구성요소가 올바르게 마이그레이션되었는지 확인합니다.

  • 상대적 우선순위
  • 트래픽 방향
  • 일치 시 작업
  • 로그 설정
  • 대상 매개변수
  • 소스 매개변수(인그레스 규칙)
  • 대상 매개변수(이그레스 규칙)
  • 프로토콜 및 포트 제약조건

방화벽 정책 규칙의 구성요소에 대한 자세한 내용은 방화벽 정책 규칙을 참조하세요.

마이그레이션 후 태스크

전역 네트워크 방화벽 정책을 활성화하고 사용하려면 다음 섹션에서 다루는 마이그레이션 후 태스크를 완료해야 합니다.

전역 네트워크 방화벽 정책을 네트워크와 연결

마이그레이션 도구는 기존 VPC 방화벽 규칙을 기반으로 전역 네트워크 방화벽 정책을 만듭니다. 이 정책을 필요한 VPC 네트워크와 수동으로 연결하여 해당 네트워크 내의 모든 VM에 대해 정책 규칙을 활성화해야 합니다. 전역 네트워크 방화벽 정책을 연결하려면 compute network-firewall-policies associations create 명령어를 사용합니다.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

다음을 바꿉니다.

  • POLICY_NAME: VPC 네트워크와 연결할 전역 네트워크 정책의 이름입니다.
  • NETWORK_NAME: VPC 네트워크의 이름입니다.

전역 네트워크 방화벽 정책을 VPC 네트워크에 연결하는 방법에 대한 자세한 내용은 네트워크와 정책 연결을 참조하세요.

정책 및 규칙 평가 순서 변경

기본적으로 Cloud Next Generation Firewall은 전역 네트워크 방화벽 정책을 평가하기 전에 VPC 방화벽 규칙을 평가합니다. 전역 네트워크 방화벽 정책이 VPC 방화벽 규칙보다 우선 적용되도록 하려면 compute networks update 명령어를 사용하여 규칙 평가 순서를 변경합니다.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

NETWORK_NAME을 VPC 네트워크 이름으로 바꿉니다.

전역 네트워크 방화벽 정책이 VPC 방화벽 규칙보다 먼저 평가되는지 확인하려면 compute networks get-effective-firewalls 명령어를 사용하세요.

gcloud compute networks get-effective-firewalls NETWORK_NAME

위 명령어의 출력에서 TYPE: network-firewall 앞에 TYPE: network-firewall-policy가 표시되면 전역 네트워크 방화벽 정책이 먼저 평가된 것입니다.

정책 및 규칙 평가 순서 변경에 대한 자세한 내용은 정책 및 규칙 평가 순서 변경을 참조하세요.

// tslint:disable-next-line:objectLiteralShorthand

방화벽 규칙 로깅 사용 설정

로깅을 사용하면 방화벽 규칙이 의도한 대로 작동하는지 확인할 수 있습니다. 마이그레이션 도구는 새 전역 네트워크 방화벽 정책을 만들 때 기존 VPC 방화벽 규칙의 로깅 상태를 유지합니다. 전역 네트워크 방화벽 정책 내의 규칙에 대해 로깅이 사용 설정되어 있는지 확인합니다. 방화벽 정책 규칙에 대한 로깅을 사용 설정하려면 compute network-firewall-policies rules update 명령어를 사용합니다.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

다음을 바꿉니다.

  • PRIORITY: 업데이트할 규칙의 우선순위입니다.
  • POLICY_NAME: 규칙을 업데이트할 전역 네트워크 방화벽 정책의 이름입니다.

전역 네트워크 방화벽 정책 테스트

VPC 방화벽 규칙을 삭제하기 전에 전역 네트워크 방화벽 정책을 테스트하여 정책 규칙이 규칙과 일치하는 트래픽에 대해 예상한 대로 작동하는지 확인합니다.

다음 단계를 따르세요.

  1. VPC 방화벽 규칙 및 전역 네트워크 방화벽 정책에서 로깅을 사용 설정했는지 확인합니다.
  2. 전역 네트워크 방화벽 정책이 VPC 방화벽 규칙보다 먼저 평가되도록 규칙 평가 순서를 변경합니다.
  3. 로그를 모니터링하여 전역 네트워크 방화벽 정책에 적중 횟수가 있고 VPC 방화벽 규칙이 섀도 처리되었는지 확인합니다.

네트워크에서 VPC 방화벽 규칙 삭제

VPC 방화벽 규칙을 완전히 삭제하기 전에 먼저 사용 중지하는 것이 좋습니다. 마이그레이션 도구로 만든 전역 네트워크 방화벽 정책이 예상한 결과를 제공하지 못하는 경우 이러한 규칙으로 되돌릴 수 있습니다.

VPC 방화벽 규칙을 삭제하려면 compute firewall-rules update 명령어를 사용합니다.

gcloud compute firewall-rules update RULE_NAME --disabled

RULE_NAME을 사용 중지할 VPC 방화벽 규칙의 이름으로 바꿉니다.

VPC 방화벽 규칙을 삭제하려면 compute firewall-rules delete 명령어를 사용합니다.

gcloud compute firewall-rules delete RULE_NAME

다음 단계