Questa pagina è stata tradotta dall'API Cloud Translation.

Esegui la migrazione delle regole firewall VPC che utilizzano tag di rete e account di servizio

Le regole firewall Virtual Private Cloud (VPC) possono contenere tag di rete e origini account di servizio. Esegui le seguenti attività per eseguire la migrazione delle regole firewall VPC che contengono tag di rete e account di servizio di origine a un criterio firewall di rete globale:

Valuta il tuo ambiente.
Elenca i tag di rete e gli account di servizio esistenti.
Crea tag per ogni tag di rete e account di servizio di origine.
Mappa i tag di rete e gli account di servizio ai tag che crei.
Associa tag a istanze di macchine virtuali (VM).
Esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale.
Esamina il nuovo criterio firewall di rete.
Completa le attività di post-migrazione.

Prima di iniziare

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Enable the API

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running

gcloud components
      update

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Enable the API

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running

gcloud components
      update

Assicurati di disporre del ruolo Amministratore della sicurezza di Compute (roles/compute.securityAdmin).

Valuta il tuo ambiente

Prima di eseguire la migrazione delle regole firewall VPC a una rete globale criterio firewall, valuta l'ambiente esistente e Identity and Access Management (IAM) ruoli e autorizzazioni:

Identificare il numero di regole firewall VPC rete VPC.
Prendi nota delle priorità associate a ogni regola del firewall VPC.
Assicurati di disporre delle autorizzazioni e dei ruoli IAM richiesti per creare, associare, modificare e visualizzare i criteri firewall di rete globali.

Assicurati di disporre dei ruoli e delle autorizzazioni IAM necessari per creare, aggiornare ed eliminare definizioni di tag sicure.

La tabella seguente fornisce un riepilogo dei vari ruoli necessari per creare e gestire i tag:

Nome ruolo	Attività eseguite
Ruolo Amministratore tag (`roles/resourcemanager.tagAdmin`)	Creare, aggiornare ed eliminare le definizioni dei tag. Per ulteriori informazioni, vedi Amministra i tag.
Ruolo Visualizzatore dei tag (`roles/resourcemanager.tagViewer`)	Visualizza le definizioni dei tag e i tag associati alle risorse.
Ruolo utente tag (`roles/resourcemanager.tagUser`)	Aggiungi e rimuovi i tag associati alle risorse.

Elenca i tag di rete e gli account di servizio esistenti

Determina se le regole firewall VPC utilizzano tag o servizi di rete e creare un file JSON per salvare i dettagli dei tag di rete account di servizio.

Per esportare i tag di rete e gli account di servizio della tua rete in un file JSON di mappatura, utilizza il comando compute firewall-rules migrate con il flag --export-tag-mapping.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --export-tag-mapping \
    --tag-mapping-file=TAG_MAPPING_FILE

Sostituisci quanto segue:

NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.
TAG_MAPPING_FILE: il nome del file JSON di mappatura.

Se le regole del firewall VPC contengono solo account di servizio, il file JSON generato contiene solo account di servizio. Analogamente, se il tuo VPC le regole firewall contengono solo tag di rete, il file JSON generato contiene tag di rete. Gli account di servizio hanno come prefisso sa e i tag di rete non hanno un prefisso qualsiasi.

Ad esempio, il seguente file JSON generato contiene un tag di rete sql-server e un oggetto l'account di servizio example@example.com.

{"network-tag-1": null, "sa:service@account1.com": null}

Creare tag

In base ai tag di rete e agli account di servizio di origine elencati nel file di mappatura, devi creare i Tag sicuri corrispondenti nella tua rete.

I nuovi tag sicuri sostituiscono i tag di rete e gli account di servizio e mantengono la configurazione di rete originale dopo la migrazione.

In qualità di entità con il ruolo Amministratore tag, per ogni tag di rete e account di servizio, crea la coppia chiave-valore del tag sicura corrispondente.

gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK_NAME

gcloud resource-manager tags values create TAG_VALUE \
    --parent ORGANIZATION_ID/TAG_KEY

Sostituisci quanto segue:

TAG_KEY: il nome della chiave Tag.
ORGANIZATION_ID: l'ID della tua organizzazione.
PROJECT_ID: l'ID del progetto.
NETWORK_NAME: il nome della tua rete VPC.
TAG_VALUE: il valore da assegnare alla chiave tag.

Ad esempio, se hai una regola firewall VPC con un tag di rete denominato sql-server, crea una coppia chiave-valore tag sicuro corrispondente di sql-server:production.

gcloud resource-manager tags keys create sql-server \
    --parent organizations/123456 \
    --purpose GCE_FIREWALL \
    --purpose-data network=test-project/test-network

gcloud resource-manager tags values create production \
   --parent 123456/sql-server

Mappare i tag di rete e gli account di servizio ai tag

Dopo aver creato tag sicuri regolati da IAM per ogni tag e servizio di rete utilizzato dalle regole firewall VPC, devi mappare i tag i tag di rete e gli account di servizio corrispondenti nel file JSON di mappatura.

Modifica il file JSON per mappare i tag di rete e gli account di servizio al i tag sicuri corrispondenti.

{"sql-server": "tagValues/yyyyy", "sa:example@example.com": "tagValues/zzzzz"}

Ad esempio, il seguente file JSON mappa il tag di rete sql-server alla Valore tag della chiave sql-server e dell'account di servizio example@example.com al valore tag della chiave example@example.com:

{"sql-server": "tagValues/production", "sa:example@example.com": "tagValues/example"}

Associa i tag alle VM

In base al file JSON di mappatura dei tag, associa i tag sicuri appena creati alle VM a cui sono collegati i tag di rete esistenti:

In qualità di entità con il ruolo Amministratore tag, segui questi passaggi:
1. Rivedi le autorizzazioni richieste per collegare tag sicuri alle risorse Google Cloud.
2. Assegna il ruolo Utente tag all'entità che utilizza i tag sicuri e li associa alle VM.
In qualità di entità con il ruolo Utente tag, utilizza il comando compute firewall-rules migrate con il flag --bind-tags-to-instances:
```
gcloud beta compute firewall-rules migrate \
   --source-network=NETWORK_NAME \
   --bind-tags-to-instances \
   --tag-mapping-file=TAG_MAPPING_FILE
```
Sostituisci quanto segue:
- NETWORK_NAME: il nome della tua rete VPC.
- TAG_MAPPING_FILE: il nome del file JSON di mappatura.

Esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale

Esegui la migrazione delle regole del firewall VPC a un firewall di rete globale . Utilizza il comando compute-firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --tag-mapping-file=TAG_MAPPING_FILE

Sostituisci quanto segue:

NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.
POLICY_NAME: il nome del criterio di firewall di rete globale da creare durante la migrazione.

Esamina il nuovo criterio firewall di rete globale

Prima di associare il criterio appena creato a una rete VPC, Google consiglia di rivedere i criteri per verificare che il processo di migrazione sia completata correttamente.

Verifica quanto segue:

La configurazione delle regole del criterio firewall è corretta e i seguenti componenti della regola sono stati migrati correttamente per ogni regola:
- Priorità relativa
- Direzione del traffico
- Azione in caso di corrispondenza
- Impostazioni di log
- Parametri target
- Parametri di origine (per le regole in entrata)
- Parametri di destinazione (per le regole in uscita)
- Vincoli di protocollo e porta
Verifica se i tag sicuri sono collegati alla VM corretta. Utilizza la Comando resource-manager tags bindings list.
```
gcloud resource-manager tags bindings list \
    --location=ZONE_ID \
    --parent //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_NAME \
    --effective
```
Sostituisci quanto segue:
- ZONE_ID: la zona della VM.
- PROJECT_ID: l'ID del progetto.
- INSTANCE_NAME: il nome della VM.

Attività di post migrazione

Per attivare e utilizzare il nuovo firewall di rete globale norme, completa le attività di post-migrazione. Per ulteriori informazioni, consulta la sezione Attività post-migrazione.

Passaggi successivi

Scopri di più su come eseguire la migrazione delle regole firewall VPC.
Esegui la migrazione delle regole firewall VPC senza dipendenze.