VPC-Firewallregeln migrieren, die Netzwerktags und Dienstkonten verwenden

Ihre VPC-Firewallregeln (Virtual Private Cloud) können Netzwerktags und Quelldienstkonten enthalten. Führen Sie die folgenden Aufgaben aus, um Ihre VPC-Firewallregeln, die Netzwerk-Tags und Quelldienstkonten enthalten, zu einer globalen Netzwerk-Firewallrichtlinie zu migrieren:

  1. Umgebung bewerten
  2. Vorhandene Netzwerk-Tags und Dienstkonten auflisten
  3. Tags für jedes Netzwerktag und jedes Quelldienstkonto erstellen
  4. Netzwerk-Tags und Dienstkonten den von Ihnen erstellten Tags zuordnen
  5. Tags an VM-Instanzen binden
  6. VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren
  7. Neue Richtlinie für Netzwerkfirewalls prüfen
  8. Nach der Migration erforderliche Aufgaben ausführen

Hinweise

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  4. Compute Engine API aktivieren.

    Aktivieren Sie die API

  5. Installieren Sie die Google Cloud CLI.

  6. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
    7.

  7. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  8. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  9. Compute Engine API aktivieren.

    Aktivieren Sie die API

  10. Installieren Sie die Google Cloud CLI.

  11. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
    12.
  12. Sie benötigen die Rolle Compute-Sicherheitsadministrator (roles/compute.securityAdmin).

Umgebung bewerten

Bevor Sie Ihre VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren, prüfen Sie Ihre vorhandene Umgebung und die IAM-Rollen und -Berechtigungen (Identity and Access Management):

  1. Identifizieren Sie die Anzahl der VPC-Firewallregeln in Ihrem VPC-Netzwerk.
  2. Notieren Sie sich die mit jeder VPC-Firewallregel verknüpften Prioritäten.
  3. Prüfen Sie, ob Sie die erforderlichen IAM-Rollen und -Berechtigungen zum Erstellen, Verknüpfen, Ändern und Aufrufen globaler Netzwerk-Firewallrichtlinien haben.

  4. Prüfen Sie, ob Sie die erforderlichen IAM-Rollen und -Berechtigungen zum Erstellen, Aktualisieren und Löschen sicherer Tag-Definitionen haben.

    Die folgende Tabelle enthält eine Zusammenfassung der verschiedenen Rollen, die zum Erstellen und Verwalten von Tags erforderlich sind:

    Rollenname Ausgeführte Aufgaben
    Rolle „Tag-Administrator“ (roles/resourcemanager.tagAdmin) Tag-Definitionen erstellen, aktualisieren und löschen. Weitere Informationen finden Sie unter Tags verwalten.
    Rolle „Tag-Betrachter“ (roles/resourcemanager.tagViewer) Tag-Definitionen und Tags aufrufen, die an Ressourcen angehängt sind.
    Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) Tags hinzufügen und entfernen, die an Ressourcen angehängt sind.

Vorhandene Netzwerktags und Dienstkonten auflisten

Prüfen Sie, ob Ihre VPC-Firewallregeln Netzwerk-Tags oder Dienstkonten verwenden, und erstellen Sie eine JSON-Datei, um die Details der vorhandenen Netzwerk-Tags und Dienstkonten zu speichern.

Verwenden Sie den Befehl compute firewall-rules migrate mit dem Flag --export-tag-mapping, um die Netzwerktags und Dienstkonten in Ihrem Netzwerk in eine JSON-Zuordnungsdatei zu exportieren.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --export-tag-mapping \
    --tag-mapping-file=TAG_MAPPING_FILE

Ersetzen Sie Folgendes:

  • NETWORK_NAME: der Name Ihres VPC-Netzwerks mit den VPC-Firewallregeln, die Sie migrieren möchten.
  • TAG_MAPPING_FILE: der Name der JSON-Zuordnungsdatei.

Wenn Ihre VPC-Firewallregeln nur Dienstkonten enthalten, enthält die generierte JSON-Datei nur Dienstkonten. Wenn Ihre VPC-Firewallregeln nur Netzwerk-Tags enthalten, enthält die generierte JSON-Datei ebenfalls nur Netzwerk-Tags. Die Dienstkonten haben das Präfix sa und Netzwerk-Tags haben kein Präfix.

Die folgende generierte JSON-Datei enthält beispielsweise ein Netzwerktag sql-server und ein Dienstkonto example@example.com.

{"network-tag-1": null, "sa:service@account1.com": null}

Tags erstellen

Anhand der in der Zuordnungsdatei aufgeführten Netzwerktags und Quelldienstkonten müssen Sie die entsprechenden sicheren Tags in Ihrem Netzwerk erstellen.

Die neuen sicheren Tags dienen als Ersatz für die Netzwerk-Tags und Dienstkonten und behalten die ursprüngliche Netzwerkkonfiguration nach der Migration bei.

Als Hauptkonto mit der Rolle „Tag-Administrator“ müssen Sie für jedes Netzwerktag und jedes Dienstkonto das entsprechende sichere Tag-Schlüssel/Wert-Paar erstellen.

gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK_NAME

gcloud resource-manager tags values create TAG_VALUE \
    --parent ORGANIZATION_ID/TAG_KEY

Ersetzen Sie Folgendes:

  • TAG_KEY: der Name des Tag-Schlüssels.
  • ORGANIZATION_ID: die ID Ihrer Organisation.
  • PROJECT_ID: die Projekt-ID.
  • NETWORK_NAME: der Name des VPC-Netzwerks.
  • TAG_VALUE: der Wert, der dem Tag-Schlüssel zugewiesen werden soll

Wenn Sie beispielsweise eine VPC-Firewallregel mit einem Netzwerk-Tag namens sql-server haben, erstellen Sie ein entsprechendes sicheres Tag-Schlüssel/Wert-Paar von sql-server:production.

gcloud resource-manager tags keys create sql-server \
    --parent organizations/123456 \
    --purpose GCE_FIREWALL \
    --purpose-data network=test-project/test-network

gcloud resource-manager tags values create production \
   --parent 123456/sql-server

Netzwerktags und Dienstkonten zu Tags zuordnen

Nachdem Sie IAM-gesteuerte sichere Tags für jedes Netzwerktag und jedes Dienstkonto erstellt haben, das von Ihren VPC-Firewallregeln verwendet wird, müssen Sie die Tags den entsprechenden Netzwerk-Tags und Dienstkonten in der JSON-Zuordnungsdatei zuordnen.

Bearbeiten Sie die JSON-Datei, um die Netzwerk-Tags und die Dienstkonten den entsprechenden sicheren Tags zuzuordnen.

{"sql-server": "tagValues/yyyyy", "sa:example@example.com": "tagValues/zzzzz"}

Die folgende JSON-Datei ordnet beispielsweise das Netzwerk-Tag sql-server zum Tag-Wert des Schlüsselssql-server und das Dienstkontoexample@example.com zum Tag-Wert des Schlüsselsexample@example.com zu:

{"sql-server": "tagValues/production", "sa:example@example.com": "tagValues/example"}

Tags an VMs binden

Binden Sie anhand der JSON-Datei für die Tag-Zuordnung die neu erstellten sicheren Tags an die VMs, an die die vorhandenen Netzwerk-Tags angehängt sind:

  1. Führen Sie als Hauptkonto mit der Rolle „Tag-Administrator“ die folgenden Schritte aus:

    1. Prüfen Sie die erforderlichen Berechtigungen zum Anhängen sicherer Tags an Google Cloud-Ressourcen.
    2. Weisen Sie dem Hauptkonto, das die sicheren Tags verwendet und die Tags an VMs bindet, die Rolle „Tag-Nutzer“ zu.

  2. Verwenden Sie als Hauptkonto mit der Rolle „Tag-Nutzer“ den Befehl compute firewall-rules migrate mit dem Flag --bind-tags-to-instances:

    gcloud beta compute firewall-rules migrate \
   --source-network=NETWORK_NAME \
   --bind-tags-to-instances \
   --tag-mapping-file=TAG_MAPPING_FILE

    Ersetzen Sie Folgendes:

    • NETWORK_NAME: der Name des VPC-Netzwerks.
    • TAG_MAPPING_FILE: der Name der JSON-Zuordnungsdatei.

VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren

Migrieren Sie Ihre VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie. Führen Sie den Befehl compute-firewall-rules migrate aus.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --tag-mapping-file=TAG_MAPPING_FILE

Ersetzen Sie Folgendes:

  • NETWORK_NAME: der Name Ihres VPC-Netzwerks mit den VPC-Firewallregeln, die Sie migrieren möchten.
  • POLICY_NAME: der Name der globalen Netzwerk-Firewallrichtlinie, die während der Migration erstellt werden soll.

Neue globale Netzwerk-Firewallrichtlinie prüfen

Bevor Sie die neu erstellte Richtlinie mit einem VPC-Netzwerk verknüpfen, sollten Sie die Richtlinie prüfen, um sicherzustellen, dass der Migrationsprozess korrekt abgeschlossen wurde.

Gehen Sie so vor:

  • Die Konfiguration der Firewallrichtlinien-Regeln ist korrekt und die folgenden Regelkomponenten werden für jede Regel ordnungsgemäß migriert:

    • Relative Priorität
    • Traffic-Richtung
    • Aktion bei Übereinstimmung
    • Log-Einstellungen
    • Zielparameter
    • Quellparameter (für Regeln für eingehenden Traffic)
    • Zielparameter (für Regeln für ausgehenden Traffic)
    • Protokoll- und Porteinschränkungen

  • Prüfen Sie, ob die sicheren Tags an die richtige VM angehängt sind. Führen Sie den Befehl resource-manager tags bindings list aus.

    gcloud resource-manager tags bindings list \
    --location=ZONE_ID \
    --parent //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_NAME \
    --effective

    Ersetzen Sie Folgendes:

    • ZONE_ID: die Zone Ihrer VM.
    • PROJECT_ID: die Projekt-ID.
    • INSTANCE_NAME ist der Name Ihrer VM.

Nach der Migration erforderliche Schritte

Führen Sie die Aufgaben nach der Migration aus, um die neue globale Netzwerk-Firewallrichtlinie zu aktivieren und zu verwenden. Weitere Informationen finden Sie unter Aufgaben nach der Migration.

Nächste Schritte