Migrar regras de firewall da VPC que usam tags de rede e contas de serviço

As regras de firewall da nuvem privada virtual (VPC) podem conter tags de rede e contas de serviço de origem. Execute as tarefas a seguir para migrar as regras de firewall da VPC que contêm tags de rede e contas de serviço de origem para uma política de firewall de rede global:

Avalie o ambiente.
Liste tags de rede e contas de serviço atuais.
Crie tags para cada tag de rede e conta de serviço de origem.
Associe as tags de rede e as contas de serviço às tags que você criar.
Vincule tags a instâncias de máquina virtual (VM).
Migre regras de firewall da VPC para uma política de firewall de rede global.
Analise a nova política de firewall de rede.
Conclua as tarefas de pós-migração.

Antes de começar

Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

Acessar o seletor de projetos

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Ative a API Compute Engine.

Ative a API

Instale a CLI do Google Cloud.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Observação: se você instalou a CLI gcloud anteriormente, verifique se tem a versão mais recente executando

gcloud components
      update

No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

Acessar o seletor de projetos

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Ative a API Compute Engine.

Ative a API

Instale a CLI do Google Cloud.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Observação: se você instalou a CLI gcloud anteriormente, verifique se tem a versão mais recente executando

gcloud components
      update

Verifique se você tem o papel de administrador de segurança do Compute (roles/compute.securityAdmin).

Avaliar o ambiente

Antes de migrar as regras de firewall da VPC para uma política de firewall de rede global, avalie o ambiente atual e os papéis e permissões do gerenciamento de identidade e acesso (IAM):

Identifique o número de regras de firewall da VPC na sua rede VPC.
Anote as prioridades associadas a cada regra de firewall da VPC.
Verifique se você tem as permissões e os papéis do IAM necessários para criar, associar, modificar e visualizar políticas globais de firewall de rede.

Verifique se você tem as permissões e os papéis do IAM necessários para criar, atualizar e excluir definições seguras de tags.

Confira na tabela a seguir um resumo dos vários papéis necessários para criar e gerenciar tags:

Nome do papel	Tarefas realizadas
Função de administrador de tags (`roles/resourcemanager.tagAdmin`)	Criar, atualizar e excluir definições de tags. Para mais informações, consulte Administrar tags.
Papel de visualizador de tags (`roles/resourcemanager.tagViewer`)	Conferir definições de tags e tags anexadas aos recursos.
Função de usuário da tag (`roles/resourcemanager.tagUser`)	Adicionar e remover tags anexadas a recursos

Listar tags de rede e contas de serviço atuais

Determine se as regras de firewall da VPC usam tags de rede ou contas de serviço e crie um arquivo JSON para salvar os detalhes dessas contas.

Para exportar as tags de rede e as contas de serviço na sua rede para um arquivo JSON de mapeamento, use o comando compute firewall-rules migrate com a sinalização --export-tag-mapping.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --export-tag-mapping \
    --tag-mapping-file=TAG_MAPPING_FILE

Substitua:

NETWORK_NAME: o nome da rede VPC que contém as regras de firewall da VPC que você quer migrar.
TAG_MAPPING_FILE: o nome do arquivo JSON de mapeamento.

Se as regras de firewall da VPC tiverem apenas contas de serviço, o arquivo JSON gerado terá apenas contas de serviço. Da mesma forma, se as regras de firewall da VPC tiverem apenas tags de rede, o arquivo JSON gerado terá apenas tags de rede. As contas de serviço têm o prefixo sa, e as tags de rede não têm prefixo.

Por exemplo, o arquivo JSON gerado a seguir contém uma tag de rede sql-server e uma conta de serviço example@example.com.

{"network-tag-1": null, "sa:service@account1.com": null}

Criar tags

Com base nas tags de rede e nas contas de serviço de origem listadas no arquivo de mapeamento, é preciso criar as tags seguras correspondentes na rede.

As novas tags seguras substituem as tags de rede e as contas de serviço, preservando a configuração de rede original após a migração.

Como o principal com o papel de administrador de tags, crie o par de chave-valor de tag segura correspondente para cada tag de rede e conta de serviço.

gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK_NAME

gcloud resource-manager tags values create TAG_VALUE \
    --parent ORGANIZATION_ID/TAG_KEY

Substitua:

TAG_KEY: o nome da chave de tag.
ORGANIZATION_ID: o ID da organização.
PROJECT_ID: ID do projeto.
NETWORK_NAME: o nome da sua rede VPC.
TAG_VALUE: o valor a ser atribuído à chave de tag.

Por exemplo, se você tiver uma regra de firewall da VPC com uma tag de rede chamada sql-server, crie um par de chave-valor de tag segura correspondente de sql-server:production.

gcloud resource-manager tags keys create sql-server \
    --parent organizations/123456 \
    --purpose GCE_FIREWALL \
    --purpose-data network=test-project/test-network

gcloud resource-manager tags values create production \
   --parent 123456/sql-server

Associar tags de rede e contas de serviço a tags

Depois de criar tags seguras controladas pelo IAM para cada tag de rede e conta de serviço usadas pelas regras de firewall da VPC, associe as tags para as tags de rede e contas de serviço correspondentes no arquivo JSON de mapeamento.

Edite o arquivo JSON para associar as tags de rede e as contas de serviço às tags seguras correspondentes.

{"sql-server": "tagValues/yyyyy", "sa:example@example.com": "tagValues/zzzzz"}

Por exemplo, o arquivo JSON a seguir associa a tag de redesql-server ao valor "Tag" da chave sql-server e a conta de serviço example@example.com ao valor da tag da chave example@example.com:

{"sql-server": "tagValues/production", "sa:example@example.com": "tagValues/example"}

Vincular tags a VMs

Com base no arquivo JSON de mapeamento de tags, vincule as tags seguras recém-criadas às VMs a que as tags de rede atuais estão anexadas:

Como o principal com o papel de administrador de tags, realize as seguintes tarefas:
1. Analise as permissões necessárias para anexar tags seguras aos recursos do Google Cloud.
2. Atribua o papel de usuário da tag ao principal que usa as tags seguras e vincula-as às VMs.
Como o principal com o papel de usuário da tag, use o comando compute firewall-rules migrate com a sinalização --bind-tags-to-instances:
```
gcloud beta compute firewall-rules migrate \
   --source-network=NETWORK_NAME \
   --bind-tags-to-instances \
   --tag-mapping-file=TAG_MAPPING_FILE
```
Substitua:
- NETWORK_NAME: o nome da sua rede VPC.
- TAG_MAPPING_FILE: o nome do arquivo JSON de mapeamento.

Migrar regras de firewall da VPC para uma política de firewall de rede global

Migre as regras de firewall da VPC para uma política de firewall de rede global. Use o comando compute-firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --tag-mapping-file=TAG_MAPPING_FILE

Substitua:

NETWORK_NAME: o nome da rede VPC que contém as regras de firewall da VPC que você quer migrar.
POLICY_NAME: o nome da política de firewall de rede global a ser criada durante a migração.

Analisar a nova política de firewall de rede global

Antes de associar a política recém-criada a uma rede VPC, o Google recomenda que você revise a política para garantir que o processo de migração tenha sido concluído sem erros.

Confirme o seguinte:

A configuração das regras da política de firewall está correta, e os seguintes componentes de regras foram migrados adequadamente para cada regra:
- Prioridade relativa
- Direção do tráfego
- Ação se houver correspondência
- Configurações de registro
- Parâmetros de destino
- Parâmetros de origem (para regras de entrada)
- Parâmetros de destino (para regras de saída)
- Restrições de protocolo e porta
Verifique se as tags seguras estão anexadas à VM correta. Use o comando resource-manager tags bindings list.
```
gcloud resource-manager tags bindings list \
    --location=ZONE_ID \
    --parent //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_NAME \
    --effective
```
Substitua:
- ZONE_ID: a zona da VM;
- PROJECT_ID: ID do projeto.
- INSTANCE_NAME: o nome da VM.

Tarefas pós-migração

Para ativar e usar a nova política de firewall de rede global, conclua as tarefas pós-migração. Para mais informações, consulte Tarefas de pós-migração.

A seguir

Saiba mais sobre como migrar regras de firewall da VPC.
Migre as regras de firewall da VPC sem dependências.