Se as regras de firewall da nuvem privada virtual (VPC) não usarem tags de rede ou contas de serviço, execute as seguintes tarefas para migrar as regras para uma política de firewall de rede global:
- Avalie o ambiente.
- Migre as regras de firewall da VPC.
- Analise a nova política de firewall de rede global.
- Conclua as tarefas de pós-migração.
Antes de começar
- Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
-
No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Ative a API Compute Engine.
- Instale a CLI do Google Cloud.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init
-
No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Ative a API Compute Engine.
- Instale a CLI do Google Cloud.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init
- Verifique se você tem o papel de administrador de segurança do Compute (
roles/compute.securityAdmin).
Avaliar o ambiente
- Identifique o número de regras de firewall de VPC na sua rede.
- Anote as prioridades associadas a cada regra de firewall da VPC.
- Verifique se você tem os papéis e as permissões de gerenciamento de identidade e acesso (IAM) necessários para criar, associar, modificar e visualizar políticas globais de firewall de rede.
Migrar as regras de firewall da VPC
Depois de avaliar o ambiente, migre as regras de firewall da VPC
para uma política de firewall de rede global usando o
comando compute firewall-rules migrate.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
–-target-firewall-policy=POLICY_NAME
Substitua:
NETWORK_NAME: o nome da rede VPC que contém as regras de firewall da VPC que você quer migrar.POLICY_NAME: o nome da política de firewall de rede global a ser criada durante a migração.
Analisar a nova política de firewall de rede global
Antes de anexar a nova política de firewall de rede global a uma rede VPC, o Google recomenda que você revise a política para garantir que o processo de migração tenha sido concluído sem erros.
Verifique a configuração das regras da política de firewall e confirme se os seguintes componentes da regra foram migrados corretamente para cada regra:
- Prioridade relativa
- Direção do tráfego
- Ação se houver correspondência
- Configurações de registro
- Parâmetros de destino
- Parâmetros de origem (para regras de entrada)
- Parâmetros de destino (para regras de saída)
- Restrições de protocolo e porta
Para mais informações sobre os componentes de uma regra da política de firewall, consulte Regras da política de firewall.
Tarefas pós-migração
Para ativar e usar a política de firewall de rede global, conclua as tarefas de pós-migração abordadas nas seções a seguir.
Associar a política de firewall de rede global à sua rede
A ferramenta de migração cria a política de firewall da rede global com base nas
regras de firewall atuais da VPC. É preciso associar manualmente a política à rede VPC necessária para ativar as regras de política de todas as VMs nessa rede. Para associar a política de firewall da rede global,
use o comando compute network-firewall-policies associations create.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Substitua:
POLICY_NAME: o nome da política de rede global que você quer associar à rede VPC.NETWORK_NAME: o nome da sua rede VPC.
Para mais informações sobre como associar uma política de firewall de rede global a uma rede VPC, consulte Associar uma política à rede.
Alterar a política e a ordem de avaliação de regras
Por padrão, o Cloud Next Generation Firewall avalia as regras de firewall da VPC antes de avaliar uma política de firewall de rede global. Para garantir
que as políticas de firewall da rede globais tenham precedência sobre as regras
de firewall da VPC, use o comando compute networks update
para alterar a ordem de avaliação da regra.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Substitua NETWORK_NAME pelo nome da rede VPC.
Para verificar se a política de firewall de rede global é avaliada antes das regras de firewall
da VPC, use o
comando compute networks get-effective-firewalls.
gcloud compute networks get-effective-firewalls NETWORK_NAME
Na saída do comando anterior, se TYPE: network-firewall-policy for
exibido antes de TYPE: network-firewall, a política de firewall de rede global
será avaliada primeiro.
Para mais informações sobre a política de alteração e a ordem de avaliação de regras, consulte Alterar política e ordem de avaliação de regras.
// tslint:disable-next-line:objectLiteralShorthand
Ativar a geração de registros de regras de firewall
A geração de registros ajuda a determinar se uma regra de firewall está funcionando conforme o esperado.
A ferramenta de migração mantém o status de geração de registros das regras de firewall da VPC
atuais quando cria a nova política de firewall de rede global. Verifique se a geração de registros está ativada para as regras dentro da política de firewall da rede global.
Para ativar a geração de registros para regras de política de firewall, use o
comando compute network-firewall-policies rules update.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Substitua:
PRIORITY: a prioridade da regra a ser atualizada.POLICY_NAME: o nome da política de firewall da rede global que tem a regra que você quer atualizar.
Testar a política de firewall de rede global
Antes de excluir as regras de firewall da VPC, teste a política de firewall de rede global para verificar se elas estão funcionando de acordo com suas expectativas para qualquer tráfego que corresponda às regras.
Faça o seguinte:
- Verifique se você ativou a geração de registros nas regras de firewall da VPC e na política de firewall da rede global.
- Altere a ordem de avaliação da regra para que a política de firewall da rede global seja avaliada antes das regras de firewall da VPC.
- Monitore os registros para verificar se a política de firewall da rede global tem contagens de ocorrências e se as regras de firewall da VPC estão ocultas.
Excluir as regras de firewall da VPC da sua rede
O Google recomenda que você desative as regras de firewall de VPC antes de excluí-las completamente. É possível reverter para essas regras se a política de firewall de rede global criada pela ferramenta de migração não fornecer os resultados esperados.
Para desativar uma regra de firewall da VPC, use o
comando compute firewall-rules update.
gcloud compute firewall-rules update RULE_NAME --disabled
Substitua RULE_NAME pelo nome da regra de firewall da VPC
a ser desativada.
Para excluir uma regra de firewall da VPC, use o
comando compute firewall-rules delete
gcloud compute firewall-rules delete RULE_NAME
A seguir
- Saiba mais sobre como migrar regras de firewall da VPC.
- Migre as regras de firewall da VPC com dependências.