Migrer des règles de pare-feu VPC qui utilisent des tags réseau et des comptes de service

Vos règles de pare-feu de cloud privé virtuel (VPC) peuvent contenir des tags réseau et des comptes de service sources. Effectuez les tâches suivantes pour migrer vos règles de pare-feu VPC contenant des tags réseau et des comptes de service sources vers une stratégie de pare-feu réseau mondiale :

  1. Évaluez votre environnement.
  2. Répertoriez les tags réseau et les comptes de service existants.
  3. Créez des tags pour chaque tag réseau et compte de service source.
  4. Mappez les tags réseau et les comptes de service aux tags que vous créez.
  5. Liez les tags aux instances de machines virtuelles (VM).
  6. Migrez les règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale.
  7. Examinez la nouvelle stratégie de pare-feu réseau.
  8. Effectuez les tâches post-migration.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine API.

    Enable the API

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Assurez-vous de disposer du rôle Administrateur de sécurité de Compute (roles/compute.securityAdmin).

Évaluer votre environnement

Avant de migrer vos règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale, évaluez votre environnement existant, ainsi que les rôles et autorisations IAM (Identity and Access Management) :

  1. Identifiez le nombre de règles de pare-feu VPC dans votre réseau VPC.
  2. Notez les priorités associées à chaque règle de pare-feu VPC.
  3. Assurez-vous de disposer des rôles et autorisations IAM requis pour créer, associer, modifier et afficher les stratégies de pare-feu réseau mondiales.
  4. Assurez-vous de disposer des rôles et autorisations IAM requis pour créer, mettre à jour et supprimer des définitions de tags sécurisés.

    Le tableau suivant récapitule les différents rôles requis pour créer et gérer des tags :

    Nom du rôle Tâches effectuées
    Rôle Administrateur de tags (roles/resourcemanager.tagAdmin) Créez, mettez à jour et supprimez des définitions de tags. Pour en savoir plus, consultez la section Administrer les tags.
    Rôle Lecteur de tags (roles/resourcemanager.tagViewer) Affichez les définitions de tags et les tags associés aux ressources.
    Rôle Utilisateur de tags (roles/resourcemanager.tagUser) Ajoutez et supprimez des tags associés aux ressources.

Répertorier les tags réseau et les comptes de service existants

Déterminez si vos règles de pare-feu VPC utilisent des tags réseau ou des comptes de service, puis créez un fichier JSON pour enregistrer les détails des tags réseau et des comptes de service existants.

Pour exporter les tags réseau et les comptes de service de votre réseau vers un fichier de mappage JSON, exécutez la commande compute firewall-rules migrate avec l'option --export-tag-mapping.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --export-tag-mapping \
    --tag-mapping-file=TAG_MAPPING_FILE

Remplacez les éléments suivants :

  • NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer.
  • TAG_MAPPING_FILE : nom du fichier de mappage JSON.

Si vos règles de pare-feu VPC ne contiennent que des comptes de service, le fichier JSON généré ne contient que des comptes de service. De même, si vos règles de pare-feu VPC ne contiennent que des tags réseau, le fichier JSON généré ne contient que des tags réseau. Les comptes de service portent le préfixe sa, et les tags réseau n'en ont pas.

Par exemple, le fichier JSON généré suivant contient un tag réseau sql-server et un compte de service example@example.com.

{"network-tag-1": null, "sa:service@account1.com": null}

Créer des tags

En fonction des tags réseau et des comptes de service sources répertoriés dans le fichier de mappage, vous devez créer les tags sécurisés correspondants sur votre réseau.

Les nouveaux tags sécurisés remplacent les tags réseau et les comptes de service, et conservent la configuration réseau d'origine après la migration.

En tant que compte principal doté du rôle "Administrateur de tags", créez la paire clé-valeur des tags sécurisés associés à chaque tag réseau et compte de service.

gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK_NAME

gcloud resource-manager tags values create TAG_VALUE \
    --parent ORGANIZATION_ID/TAG_KEY

Remplacez les éléments suivants :

  • TAG_KEY : nom de la clé du tag.
  • ORGANIZATION_ID : ID de votre organisation.
  • PROJECT_ID : par l'ID du projet.
  • NETWORK_NAME : nom de votre réseau VPC.
  • TAG_VALUE : valeur à attribuer à la clé de tag.

Par exemple, si vous disposez d'une règle de pare-feu VPC avec un tag réseau appelé sql-server, créez la paire clé-valeur de tag sécurisé correspondante sql-server:production.

gcloud resource-manager tags keys create sql-server \
    --parent organizations/123456 \
    --purpose GCE_FIREWALL \
    --purpose-data network=test-project/test-network

gcloud resource-manager tags values create production \
   --parent 123456/sql-server

Mapper les tags réseau et les comptes de service aux tags

Après avoir créé des tags sécurisés gérés par IAM pour chaque tag réseau et compte de service utilisés par vos règles de pare-feu VPC, vous devez mapper les tags aux tags réseau et comptes de service correspondants dans le fichier de mappage JSON.

Modifiez le fichier JSON pour mapper les tags réseau et les comptes de service aux tags sécurisés correspondants.

{"sql-server": "tagValues/yyyyy", "sa:example@example.com": "tagValues/zzzzz"}

Par exemple, le fichier JSON suivant mappe le tag réseau sql-server à la valeur de tag de la clé sql-server, et le compte de service example@example.com à la valeur de tag de la clé example@example.com :

{"sql-server": "tagValues/production", "sa:example@example.com": "tagValues/example"}

Lier les tags aux VM

En fonction du fichier JSON de mappage de tags, liez les tags sécurisés que vous venez de créer aux VM auxquelles les tags réseau existants sont associés :

  1. En tant que compte principal doté du rôle "Administrateur de tags", procédez comme suit :

    1. Examinez les autorisations requises pour associer des tags sécurisés aux ressources Google Cloud.
    2. Attribuez le rôle "Utilisateur de tags" au compte principal qui utilise les tags sécurisés et lie les tags aux VM.
  2. En tant que compte principal doté du rôle "Utilisateur de tags", exécutez la commande compute firewall-rules migrate avec l'option --bind-tags-to-instances :

    gcloud beta compute firewall-rules migrate \
       --source-network=NETWORK_NAME \
       --bind-tags-to-instances \
       --tag-mapping-file=TAG_MAPPING_FILE
    

    Remplacez les éléments suivants :

    • NETWORK_NAME : nom de votre réseau VPC.
    • TAG_MAPPING_FILE : nom du fichier de mappage JSON.

Migrer les règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale

Migrez vos règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale. Exécutez la commande compute-firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --tag-mapping-file=TAG_MAPPING_FILE

Remplacez les éléments suivants :

  • NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer.
  • POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale à créer lors de la migration.

Examiner la nouvelle stratégie de pare-feu réseau mondiale

Avant d'associer la stratégie que vous venez de créer à un réseau VPC, Google vous recommande de l'examiner pour vous assurer que le processus de migration est bien terminé.

Effectuez les vérifications suivantes :

  • La configuration des règles de stratégie de pare-feu est correcte et les composants de règles suivants sont bien migrés pour chaque règle :

    • Priorité relative
    • Sens du trafic
    • Action en cas de correspondance
    • Paramètres des journaux
    • Paramètres cibles
    • Paramètres sources (pour les règles d'entrée)
    • Paramètres de destination (pour les règles de sortie)
    • Contraintes liées au protocole et au port
  • Vérifiez si les tags sécurisés sont associés à la VM appropriée. Utilisez la commande resource-manager tags bindings list.

    gcloud resource-manager tags bindings list \
        --location=ZONE_ID \
        --parent //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_NAME \
        --effective
    

    Remplacez les éléments suivants :

    • ZONE_ID : zone de votre VM
    • PROJECT_ID : par l'ID du projet.
    • INSTANCE_NAME : nom de votre VM.

Tâches à effectuer après la migration

Pour activer et utiliser la nouvelle stratégie de pare-feu réseau mondiale, effectuez les tâches post-migration. Pour en savoir plus, consultez la section Tâches à effectuer après la migration.

Étapes suivantes