Esegui la migrazione delle regole firewall VPC che utilizzano tag di rete e account di servizio

Le regole firewall VPC (Virtual Private Cloud) possono contenere tag di rete e account di servizio di origine. Esegui le seguenti attività per eseguire la migrazione delle regole firewall VPC contenenti tag di rete e account di servizio di origine a un criterio firewall di rete globale:

Valuta l'ambiente.
Elenca i tag di rete e gli account di servizio esistenti.
Crea tag per ogni tag di rete e account di servizio di origine.
Mappa i tag di rete e gli account di servizio ai tag che crei.
Associa i tag a istanze di macchine virtuali (VM).
Esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale.
Esamina il nuovo criterio firewall di rete.
Completa le attività di post-migrazione.

Prima di iniziare

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Attiva l'API Compute Engine.

Abilita l'API

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Nota: se hai già installato gcloud CLI in precedenza, assicurati di disporre della versione più recente eseguendo

gcloud components
      update

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Attiva l'API Compute Engine.

Abilita l'API

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Nota: se hai già installato gcloud CLI in precedenza, assicurati di disporre della versione più recente eseguendo

gcloud components
      update

Assicurati di disporre del ruolo Amministratore sicurezza Compute (roles/compute.securityAdmin).

Valuta il tuo ambiente

Prima di eseguire la migrazione delle regole firewall VPC a un criterio firewall di rete globale, valuta l'ambiente esistente, nonché i ruoli e le autorizzazioni di Identity and Access Management (IAM):

Identifica il numero di regole firewall VPC nella tua rete VPC.
Prendi nota delle priorità associate a ogni regola firewall VPC.
Assicurati di disporre dei ruoli e delle autorizzazioni IAM richiesti per creare, associare, modificare e visualizzare i criteri firewall di rete globali.

Assicurati di disporre dei ruoli e delle autorizzazioni IAM richiesti per creare, aggiornare ed eliminare le definizioni di tag sicuri.

La seguente tabella fornisce un riepilogo dei vari ruoli necessari per creare e gestire i tag:

Nome ruolo	Attività eseguite
Ruolo Amministratore tag (`roles/resourcemanager.tagAdmin`)	Creare, aggiornare ed eliminare le definizioni dei tag. Per maggiori informazioni, consulta Gestire i tag.
Ruolo Visualizzatore tag (`roles/resourcemanager.tagViewer`)	Visualizzare le definizioni dei tag e i tag associati alle risorse.
Tag utente ruolo (`roles/resourcemanager.tagUser`)	Aggiungi e rimuovi i tag collegati alle risorse.

Elenco di tag di rete e account di servizio esistenti

Determina se le regole firewall VPC utilizzano tag di rete o account di servizio e crea un file JSON per salvare i dettagli dei tag di rete e degli account di servizio esistenti.

Per esportare i tag di rete e gli account di servizio nella tua rete in un file JSON di mappatura, utilizza il comando compute firewall-rules migrate con il flag --export-tag-mapping.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --export-tag-mapping \
    --tag-mapping-file=TAG_MAPPING_FILE

Sostituisci quanto segue:

NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.
TAG_MAPPING_FILE: il nome del file JSON di mappatura.

Se le regole firewall VPC contengono solo account di servizio, il file JSON generato contiene solo account di servizio. Allo stesso modo, se le regole firewall VPC contengono solo tag di rete, il file JSON generato conterrà solo tag di rete. Gli account di servizio hanno il prefisso sa e i tag di rete non hanno alcun prefisso.

Ad esempio, il seguente file JSON generato contiene un tag di rete sql-server e un account di servizio example@example.com.

{"network-tag-1": null, "sa:service@account1.com": null}

Crea tag

A seconda dei tag di rete e degli account di servizio di origine elencati nel file di mapping, devi creare i tag protetti corrispondenti nella tua rete.

I nuovi tag protetti sostituiscono i tag di rete e gli account di servizio e conservano la configurazione di rete originale dopo la migrazione.

In qualità di entità con il ruolo Amministratore tag, per ogni tag di rete e account di servizio crea la coppia chiave-valore Tag sicuro corrispondente.

gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK_NAME

gcloud resource-manager tags values create TAG_VALUE \
    --parent ORGANIZATION_ID/TAG_KEY

Sostituisci quanto segue:

TAG_KEY: il nome della chiave tag.
ORGANIZATION_ID: l'ID della tua organizzazione.
PROJECT_ID: l'ID del progetto.
NETWORK_NAME: il nome della tua rete VPC.
TAG_VALUE: il valore da assegnare alla chiave tag.

Ad esempio, se hai una regola firewall VPC con un tag di rete chiamato sql-server, crea una coppia chiave-valore Tag sicuro corrispondente di sql-server:production.

gcloud resource-manager tags keys create sql-server \
    --parent organizations/123456 \
    --purpose GCE_FIREWALL \
    --purpose-data network=test-project/test-network

gcloud resource-manager tags values create production \
   --parent 123456/sql-server

Mappare i tag di rete e gli account di servizio ai tag

Dopo aver creato i tag protetti approvati da IAM per ogni tag di rete e account di servizio utilizzati dalle regole firewall VPC, devi mappare i tag ai tag di rete e agli account di servizio corrispondenti nel file JSON di mappatura.

Modifica il file JSON per mappare i tag di rete e gli account di servizio ai tag sicuri corrispondenti.

{"sql-server": "tagValues/yyyyy", "sa:example@example.com": "tagValues/zzzzz"}

Ad esempio, il seguente file JSON mappa il tag di rete sql-server al valore del tag della chiave sql-server e l'account di servizio example@example.com al valore tag della chiave example@example.com:

{"sql-server": "tagValues/production", "sa:example@example.com": "tagValues/example"}

Associa i tag alle VM

In base al file JSON di mappatura dei tag, associa i tag sicuri appena creati alle VM a cui sono associati i tag di rete esistenti:

In qualità di entità con il ruolo Amministratore tag, segui questi passaggi:
1. Esamina le autorizzazioni richieste per collegare tag sicuri alle risorse Google Cloud.
2. Assegna il ruolo Utente tag all'entità che utilizza i tag sicuri e associa i tag alle VM.
In qualità di entità con il ruolo Utente tag, utilizza il comando compute firewall-rules migrate con il flag --bind-tags-to-instances:
```
gcloud beta compute firewall-rules migrate \
   --source-network=NETWORK_NAME \
   --bind-tags-to-instances \
   --tag-mapping-file=TAG_MAPPING_FILE
```
Sostituisci quanto segue:
- NETWORK_NAME: il nome della tua rete VPC.
- TAG_MAPPING_FILE: il nome del file JSON di mappatura.

Esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale

Esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale. Utilizza il comando compute-firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --tag-mapping-file=TAG_MAPPING_FILE

Sostituisci quanto segue:

NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.
POLICY_NAME: il nome del criterio firewall di rete globale da creare durante la migrazione.

Esamina il nuovo criterio firewall di rete globale

Prima di associare il criterio appena creato a una rete VPC, Google ti consiglia di esaminarlo per assicurarti che il processo di migrazione sia stato completato in modo accurato.

Verifica quanto segue:

La configurazione delle regole dei criteri firewall è corretta e viene eseguita correttamente la migrazione dei seguenti componenti delle regole per ogni regola:
- Priorità relativa
- Direzione del traffico
- Azione in caso di corrispondenza
- Impostazioni log
- Parametri target
- Parametri di origine (per le regole in entrata)
- Parametri di destinazione (per le regole in uscita)
- Vincoli di protocollo e porte
Verifica che i tag sicuri siano collegati alla VM corretta. Utilizza il comando resource-manager tags bindings list.
```
gcloud resource-manager tags bindings list \
    --location=ZONE_ID \
    --parent //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_NAME \
    --effective
```
Sostituisci quanto segue:
- ZONE_ID: la zona della VM.
- PROJECT_ID: l'ID del progetto.
- INSTANCE_NAME: il nome della VM.

Attività di post-migrazione

Per attivare e utilizzare il nuovo criterio firewall di rete globale, completa le attività di postmigrazione. Per ulteriori informazioni, consulta Attività di post-migrazione.

Passaggi successivi

Scopri di più sulla migrazione delle regole firewall VPC.
Esegui la migrazione delle regole firewall VPC senza alcuna dipendenza.