Memigrasikan aturan firewall VPC yang menggunakan tag jaringan dan akun layanan

Aturan firewall Virtual Private Cloud (VPC) Anda dapat berisi tag jaringan dan akun layanan sumber. Lakukan tugas berikut untuk memigrasikan aturan firewall VPC Anda yang berisi tag jaringan dan akun layanan sumber ke kebijakan firewall jaringan global:

  1. Menilai lingkungan Anda.
  2. Cantumkan tag jaringan dan akun layanan yang ada.
  3. Buat Tag untuk setiap tag jaringan dan akun layanan sumber.
  4. Petakan tag jaringan dan akun layanan ke Tag yang Anda buat.
  5. Mengikat Tag ke instance virtual machine (VM).
  6. Memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global.
  7. Tinjau kebijakan firewall jaringan yang baru.
  8. Selesaikan tugas pascamigrasi.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Aktifkan API Compute Engine.

    Mengaktifkan API

  5. Menginstal Google Cloud CLI.
  6. Untuk initialize gcloud CLI, jalankan perintah berikut:

    gcloud init
  7. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  8. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  9. Aktifkan API Compute Engine.

    Mengaktifkan API

  10. Menginstal Google Cloud CLI.
  11. Untuk initialize gcloud CLI, jalankan perintah berikut:

    gcloud init
  12. Pastikan Anda memiliki peran Admin Keamanan Compute (roles/compute.securityAdmin).

Mengevaluasi lingkungan Anda

Sebelum memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global, nilai peran dan izin Identity and Access Management (IAM) serta lingkungan Anda yang sudah ada:

  1. Mengidentifikasi jumlah aturan firewall VPC dalam jaringan VPC Anda.
  2. Catat prioritas yang terkait dengan setiap aturan firewall VPC.
  3. Pastikan Anda memiliki peran dan izin IAM yang diperlukan untuk membuat, mengaitkan, mengubah, dan melihat kebijakan firewall jaringan global.
  4. Pastikan Anda memiliki peran dan izin IAM yang diperlukan untuk membuat, memperbarui, dan menghapus definisi Tag yang aman.

    Tabel berikut memberikan ringkasan berbagai peran yang diperlukan untuk membuat dan mengelola Tag:

    Nama peran Tugas yang telah dijalankan
    Peran Administrator Tag (roles/resourcemanager.tagAdmin) Membuat, memperbarui, dan menghapus definisi tag. Untuk informasi selengkapnya, lihat Mengelola tag.
    Peran Penampil Tag (roles/resourcemanager.tagViewer) Melihat definisi tag dan tag yang dilampirkan ke resource.
    Peran Tag User (roles/resourcemanager.tagUser) Menambahkan dan menghapus tag yang dilampirkan ke resource.

Menampilkan daftar tag jaringan dan akun layanan yang ada

Tentukan apakah aturan firewall VPC Anda menggunakan tag jaringan atau akun layanan, dan buat file JSON untuk menyimpan detail tag jaringan dan akun layanan yang ada.

Untuk mengekspor tag jaringan dan akun layanan di jaringan Anda ke file JSON pemetaan, gunakan perintah compute firewall-rules migrate dengan flag --export-tag-mapping.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --export-tag-mapping \
    --tag-mapping-file=TAG_MAPPING_FILE

Ganti kode berikut:

  • NETWORK_NAME: nama jaringan VPC Anda yang berisi aturan firewall VPC yang ingin Anda migrasikan.
  • TAG_MAPPING_FILE: nama file JSON pemetaan.

Jika aturan firewall VPC Anda hanya berisi akun layanan, file JSON yang dihasilkan hanya berisi akun layanan. Demikian pula, jika aturan firewall VPC Anda hanya berisi tag jaringan, file JSON yang dihasilkan hanya berisi tag jaringan. Akun layanan diawali dengan sa, dan tag jaringan tidak memiliki awalan apa pun.

Misalnya, file JSON yang dihasilkan berikut berisi tag jaringan sql-server dan akun layanan example@example.com.

{"network-tag-1": null, "sa:service@account1.com": null}

Buat Tag

Berdasarkan tag jaringan dan akun layanan sumber yang tercantum dalam file pemetaan, Anda harus membuat Tag aman yang sesuai di jaringan Anda.

Tag aman yang baru berfungsi sebagai pengganti tag jaringan dan akun layanan, serta mempertahankan konfigurasi jaringan asli setelah migrasi.

Sebagai akun utama dengan peran Administrator Tag, untuk setiap tag jaringan dan akun layanan, buat pasangan nilai kunci Tag aman yang sesuai.

gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK_NAME

gcloud resource-manager tags values create TAG_VALUE \
    --parent ORGANIZATION_ID/TAG_KEY

Ganti kode berikut:

  • TAG_KEY: nama Kunci tag.
  • ORGANIZATION_ID: ID organisasi Anda.
  • PROJECT_ID: ID project Anda.
  • NETWORK_NAME: nama jaringan VPC Anda.
  • TAG_VALUE: nilai yang akan ditetapkan ke Kunci tag.

Misalnya, jika Anda memiliki aturan firewall VPC dengan tag jaringan yang disebut sql-server, buat pasangan nilai kunci Tag aman yang sesuai, yaitu sql-server:production.

gcloud resource-manager tags keys create sql-server \
    --parent organizations/123456 \
    --purpose GCE_FIREWALL \
    --purpose-data network=test-project/test-network

gcloud resource-manager tags values create production \
   --parent 123456/sql-server

Memetakan tag jaringan dan akun layanan ke Tag

Setelah membuat Tag aman yang diatur oleh IAM untuk setiap tag jaringan dan akun layanan yang digunakan oleh aturan firewall VPC, Anda harus memetakan Tag tersebut ke tag jaringan dan akun layanan yang sesuai dalam file JSON pemetaan.

Edit file JSON untuk memetakan tag jaringan dan akun layanan ke Tag aman yang sesuai.

{"sql-server": "tagValues/yyyyy", "sa:example@example.com": "tagValues/zzzzz"}

Misalnya, file JSON berikut memetakan tag jaringan sql-server ke nilai Tag kunci sql-server dan akun layanan example@example.com ke nilai Tag kunci example@example.com:

{"sql-server": "tagValues/production", "sa:example@example.com": "tagValues/example"}

Mengikat Tag ke VM

Berdasarkan file JSON pemetaan tag, ikat Tag aman yang baru dibuat ke VM tempat tag jaringan yang ada terpasang:

  1. Sebagai akun utama dengan peran Administrator Tag, lakukan tindakan berikut:

    1. Tinjau izin yang diperlukan untuk melampirkan Tag yang aman ke resource Google Cloud.
    2. Tetapkan peran Tag User ke akun utama yang menggunakan Tag aman dan mengikat Tag ke VM.
  2. Sebagai akun utama dengan peran Tag User, gunakan perintah compute firewall-rules migrate dengan tanda --bind-tags-to-instances:

    gcloud beta compute firewall-rules migrate \
       --source-network=NETWORK_NAME \
       --bind-tags-to-instances \
       --tag-mapping-file=TAG_MAPPING_FILE
    

    Ganti kode berikut:

    • NETWORK_NAME: nama jaringan VPC Anda.
    • TAG_MAPPING_FILE: nama file JSON pemetaan.

Memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global

Migrasikan aturan firewall VPC Anda ke kebijakan firewall jaringan global. Gunakan perintah compute-firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --tag-mapping-file=TAG_MAPPING_FILE

Ganti kode berikut:

  • NETWORK_NAME: nama jaringan VPC Anda yang berisi aturan firewall VPC yang ingin Anda migrasikan.
  • POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

Tinjau kebijakan firewall jaringan global baru

Sebelum mengaitkan kebijakan yang baru dibuat ke jaringan VPC, Google merekomendasikan agar Anda meninjau kebijakan untuk memastikan proses migrasi telah selesai secara akurat.

Pastikan hal berikut:

  • Konfigurasi aturan kebijakan firewall sudah benar, dan komponen aturan berikut dimigrasikan dengan benar untuk setiap aturan:

    • Prioritas relatif
    • Arah traffic
    • Tindakan jika ada kecocokan
    • Setelan log
    • Parameter target
    • Parameter sumber (untuk aturan masuk)
    • Parameter tujuan (untuk aturan traffic keluar)
    • Batasan protokol dan port
  • Verifikasi apakah Tag aman terpasang ke VM yang benar. Gunakan perintah resource-manager tags bindings list.

    gcloud resource-manager tags bindings list \
        --location=ZONE_ID \
        --parent //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_NAME \
        --effective
    

    Ganti kode berikut:

    • ZONE_ID: zona VM Anda.
    • PROJECT_ID: ID project Anda.
    • INSTANCE_NAME: nama VM Anda.

Tugas pascamigrasi

Untuk mengaktifkan dan menggunakan kebijakan firewall jaringan global yang baru, selesaikan tugas pascamigrasi. Untuk mengetahui informasi selengkapnya, lihat Tugas pascamigrasi.

Langkah selanjutnya