Migrar regras de firewall de VPC que não usam tags de rede e contas de serviço

Se as regras de firewall da nuvem privada virtual (VPC) não usarem tags de rede ou contas de serviço, execute as seguintes tarefas para migrar as regras para uma política de firewall de rede global:

Avalie o ambiente.
Migre as regras de firewall da VPC.
Analise a nova política de firewall de rede global.
Conclua as tarefas de pós-migração.

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Enable the API

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running

gcloud components
      update

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Enable the API

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running

gcloud components
      update

Verifique se você tem o papel de administrador de segurança do Compute (roles/compute.securityAdmin).

Avaliar o ambiente

Identifique o número de regras de firewall de VPC na sua rede.
Anote as prioridades associadas a cada regra de firewall da VPC.
Verifique se você tem os papéis e as permissões de gerenciamento de identidade e acesso (IAM) necessários para criar, associar, modificar e visualizar políticas globais de firewall de rede.

Migrar as regras de firewall da VPC

Depois de avaliar o ambiente, migre as regras de firewall da VPC para uma política de firewall de rede global usando o comando compute firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    –-target-firewall-policy=POLICY_NAME

Substitua:

NETWORK_NAME: o nome da rede VPC que contém as regras de firewall da VPC que você quer migrar.
POLICY_NAME: o nome da política de firewall de rede global a ser criada durante a migração.

Analisar a nova política de firewall de rede global

Antes de anexar a nova política de firewall de rede global a uma rede VPC, o Google recomenda que você revise a política para garantir que o processo de migração tenha sido concluído sem erros.

Verifique a configuração das regras da política de firewall e confirme se os seguintes componentes da regra foram migrados corretamente para cada regra:

Prioridade relativa
Direção do tráfego
Ação se houver correspondência
Configurações de registro
Parâmetros de destino
Parâmetros de origem (para regras de entrada)
Parâmetros de destino (para regras de saída)
Restrições de protocolo e porta

Para mais informações sobre os componentes de uma regra da política de firewall, consulte Regras da política de firewall.

Tarefas pós-migração

Para ativar e usar a política de firewall de rede global, conclua as tarefas de pós-migração abordadas nas seções a seguir.

Associar a política de firewall de rede global à sua rede

A ferramenta de migração cria a política de firewall da rede global com base nas regras de firewall atuais da VPC. É preciso associar manualmente a política à rede VPC necessária para ativar as regras de política de todas as VMs nessa rede. Para associar a política de firewall da rede global, use o comando compute network-firewall-policies associations create.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

Substitua:

POLICY_NAME: o nome da política de rede global que você quer associar à rede VPC.
NETWORK_NAME: o nome da sua rede VPC.

Para mais informações sobre como associar uma política de firewall de rede global a uma rede VPC, consulte Associar uma política à rede.

Alterar a política e a ordem de avaliação de regras

Por padrão, o Cloud Next Generation Firewall avalia as regras de firewall da VPC antes de avaliar uma política de firewall de rede global. Para garantir que as políticas de firewall da rede globais tenham precedência sobre as regras de firewall da VPC, use o comando compute networks update para alterar a ordem de avaliação da regra.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

Substitua NETWORK_NAME pelo nome da rede VPC.

Para verificar se a política de firewall de rede global é avaliada antes das regras de firewall da VPC, use o comando compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME

Na saída do comando anterior, se TYPE: network-firewall-policy for exibido antes de TYPE: network-firewall, a política de firewall de rede global será avaliada primeiro.

Para mais informações sobre a política de alteração e a ordem de avaliação de regras, consulte Alterar política e ordem de avaliação de regras.

// tslint:disable-next-line:objectLiteralShorthand

Ativar a geração de registros de regras de firewall

A geração de registros ajuda a determinar se uma regra de firewall está funcionando conforme o esperado. A ferramenta de migração mantém o status de geração de registros das regras de firewall da VPC atuais quando cria a nova política de firewall de rede global. Verifique se a geração de registros está ativada para as regras dentro da política de firewall da rede global. Para ativar a geração de registros para regras de política de firewall, use o comando compute network-firewall-policies rules update.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

Substitua:

PRIORITY: a prioridade da regra a ser atualizada.
POLICY_NAME: o nome da política de firewall da rede global que tem a regra que você quer atualizar.

Testar a política de firewall de rede global

Antes de excluir as regras de firewall da VPC, teste a política de firewall de rede global para verificar se elas estão funcionando de acordo com suas expectativas para qualquer tráfego que corresponda às regras.

Faça o seguinte:

Verifique se você ativou a geração de registros nas regras de firewall da VPC e na política de firewall da rede global.
Altere a ordem de avaliação da regra para que a política de firewall da rede global seja avaliada antes das regras de firewall da VPC.
Monitore os registros para verificar se a política de firewall da rede global tem contagens de ocorrências e se as regras de firewall da VPC estão ocultas.

Excluir as regras de firewall da VPC da sua rede

O Google recomenda que você desative as regras de firewall de VPC antes de excluí-las completamente. É possível reverter para essas regras se a política de firewall de rede global criada pela ferramenta de migração não fornecer os resultados esperados.

Para desativar uma regra de firewall da VPC, use o comando compute firewall-rules update.

gcloud compute firewall-rules update RULE_NAME --disabled

Substitua RULE_NAME pelo nome da regra de firewall da VPC a ser desativada.

Para excluir uma regra de firewall da VPC, use o comando compute firewall-rules delete

gcloud compute firewall-rules delete RULE_NAME

A seguir

Saiba mais sobre como migrar regras de firewall da VPC.
Migre as regras de firewall da VPC com dependências.