VPC-Firewallregeln (Virtual Private Cloud) gelten für ein einzelnes VPC-Netzwerk. Für eine genauere Kontrolle des Traffics, der von den VM-Instanzen in Ihrem VPC-Netzwerk gesendet oder empfangen wird, können Sie Netzwerk-Tags oder Dienstkonten in den VPC-Firewallregeln verwenden. Für VPC-Firewallregeln gelten jedoch die folgenden Einschränkungen:
Keine Batchbearbeitung: VPC-Firewallregeln werden pro Regel angewendet und müssen einzeln bearbeitet werden, was ineffizient sein kann.
Eingeschränkte Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM): Netzwerktags bieten nicht die robusten IAM-Steuerelemente, die für eine strenge Trafficsegmentierung erforderlich sind.
Cloud Next Generation Firewall unterstützt globale und regionale Netzwerk-Firewallrichtlinien, um die Einschränkungen von VPC-Firewallregeln zu berücksichtigen. Sie können Netzwerk-Firewallrichtlinien definieren und auf mehrere VPC-Netzwerke in mehreren Regionen anwenden. Diese Richtlinien unterstützen auch IAM-gesteuerte sichere Tags, mit denen Sie eine detaillierte Kontrolle auf VM-Ebene für eine sichere und zuverlässige Mikrosegmentierung aller Arten von Netzwerktraffic erzwingen können.
Weitere Informationen finden Sie unter Vorteile der Migration von VPC-Firewallregeln zu einer Netzwerk-Firewallrichtlinie.
Sie können Ihre vorhandenen VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren, um die Funktionen von Netzwerk-Firewallrichtlinien zu nutzen, um den Zugriff auf Ihr VPC-Netzwerk effektiv zu steuern.
Vorteile der Migration von VPC-Firewallregeln zu einer Netzwerk-Firewallrichtlinie
Eine Netzwerk-Firewallrichtlinie bietet eine konsistente Firewallumgebung in der gesamten Google Cloud-Ressourcenhierarchie und mehrere operative Vorteile gegenüber VPC-Firewallregeln.
Bietet detaillierte Sicherheits- und Zugriffssteuerung mithilfe von IAM-gesteuerten Tags. Mit Google Cloud können Sie separate Tags an jede Netzwerkschnittstelle einer VM anhängen. Anhand der Tags können Sie Ihre Firewallrichtlinien-Regeln definieren, um den nicht autorisierten Zugriff auf Ihre Ressourcen und Ihren Arbeitslast-Traffic einzuschränken. Sie erhalten also eine bessere Kontrolle über Ihre Ressourcen und können so für jede Nutzergruppe oder Anwendung eine Self-Service-Umgebung mit geringsten Berechtigungen bereitstellen. VPC-Firewallregeln verwenden Netzwerktags, die keine IAM-Zugriffssteuerung unterstützen.
Aktiviert die vereinfachte Regelverwaltung. Netzwerk-Firewallrichtlinien unterstützen die Batchbearbeitung, mit der Sie mehrere Regeln innerhalb einer einzelnen Richtlinie bearbeiten können. VPC-Firewallregeln funktionieren nur auf der Ebene pro Regel.
Bietet einfache Abläufe: Netzwerk-Firewallrichtlinien unterstützen die Verwendung von Features wie Adressgruppen, FQDN-Objekten (voll qualifizierter Domainnamen), Standortbestimmungs-Objekten, Bedrohungserkennung und Einbruchsprävention. VPC-Firewallregeln unterstützen diese erweiterten Features nicht.
Unterstützt den flexiblen Datenstandort. Netzwerk-Firewallrichtlinien können entweder auf mehrere Regionen oder eine einzelne Region eines Netzwerks angewendet werden. VPC-Firewallregeln können nur global angewendet werden.
Migrationstool für VPC-Firewallregeln
Mit dem Migrationstool für VPC-Firewallregeln können VPC-Firewallregeln automatisch zu einer globalen Netzwerk-Firewallrichtlinie migriert werden. Das Tool ist ein Befehlszeilendienstprogramm, auf das Sie mit der Google Cloud CLI zugreifen können.
Spezifikationen
Das Migrationstool erstellt eine globale Netzwerk-Firewallrichtlinie, konvertiert die vorhandenen VPC-Firewallregeln in Firewallrichtlinienregeln und fügt der Richtlinie die neuen Regeln hinzu.
Wenn zwei oder mehr VPC-Firewallregeln die gleiche Priorität haben, aktualisiert das Migrationstool die Regelprioritäten automatisch, um Überschneidungen zu vermeiden. Eine Regel mit der Aktion
denyhat eine höhere Priorität als eine Regel mit der Aktionallow. Beim Aktualisieren der Prioritäten behält das Tool die relative Reihenfolge der ursprünglichen VPC-Firewallregeln bei.Wenn Sie beispielsweise vier VPC-Firewallregeln mit der Priorität
1000und eine fünfte Regel mit der Priorität2000haben, weist das Migrationstool den ersten vier Regeln eine eindeutige Prioritätsnummer durch die Sequenz1000,1001,1002und1003zu. Der fünften Regel mit der Priorität2000wird eine neue eindeutige Priorität von1004zugewiesen. Dadurch wird sichergestellt, dass die neuen Prioritäten für die ersten vier Regeln höher sind als die neuer Prioritäten aller Regeln mit einer Priorität von weniger als1000.Wenn Ihre VPC-Firewallregeln Abhängigkeiten wie Netzwerk-Tags oder Dienstkonten enthalten, kann das Migrationstool IAM-gesteuerte Tags nutzen, die als Ersatz für diese Netzwerk-Tags und Dienstkonten dienen.
Wenn Ihr VPC-Netzwerk VPC-Firewallregeln und eine zugehörige Netzwerk-Firewallrichtlinie enthält, verschiebt das Migrationstool die kompatiblen VPC-Firewallregeln sowie die Regeln der Netzwerk-Firewallrichtlinie in die neue globale Netzwerk-Firewallrichtlinie.
Das Migrationstool migriert nicht die VPC-Firewallregeln, die automatisch von Google-Diensten wie Google Kubernetes Engine (GKE) erstellt werden. Diese Regeln sind in Ihrem Netzwerk weiterhin als VPC-Firewallregeln vorhanden. Wenn Ihr VPC-Netzwerk GKE-Ressourcen enthält, wenden Sie sich an den Google Cloud-Support, um die beste Strategie für die Migration von GKE generierten VPC-Firewallregeln zu finden.
Das Migrationstool behält die Logeinstellungen der vorhandenen VPC-Firewallregeln bei. Wenn für eine VPC-Firewallregel Logging aktiviert ist, bleibt es vom Migrationstool aktiviert. Wenn die Protokollierung deaktiviert ist, bleibt sie vom Migrationstool deaktiviert.
Das Migrationstool generiert nur die globale Netzwerk-Firewallrichtlinie. Das Tool löscht vorhandene VPC-Firewallregeln nicht und ordnet die neue globale Netzwerk-Firewallrichtlinie nicht dem erforderlichen VPC-Netzwerk zu. Sie müssen die globale Netzwerk-Firewallrichtlinie manuell mit dem erforderlichen VPC-Netzwerk verknüpfen und dann die Verknüpfung zwischen den VPC-Firewallregeln und dem VPC-Netzwerk entfernen.
Nachdem Sie die globale Netzwerk-Firewallrichtlinie mit dem erforderlichen VPC-Netzwerk verknüpft haben, können Sie die VPC-Firewallregeln deaktivieren, wenn die Richtlinienregeln in der globalen Netzwerk-Firewallrichtlinie wie vorgesehen funktionieren.
Es ist möglich, die neue globale Netzwerk-Firewallrichtlinie sowie die VPC-Firewallregeln demselben VPC-Netzwerk zuzuordnen, da die Regeln gemäß der Reihenfolge der Richtlinien- und Regelauswertungen angewendet werden. Es wird jedoch empfohlen, die VPC-Firewallregeln zu deaktivieren.
Migrationsszenarien
Beachten Sie beim Migrieren Ihrer VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie die folgenden Szenarien:
- VPC-Firewallregeln enthalten keine Netzwerk-Tags oder Dienstkonten.
- VPC-Firewallregeln enthalten Netzwerktags oder Zieldienstkonten oder beides.
Das folgende Diagramm zeigt den Migrationsworkflow für die vorherigen Konfigurationskombinationen. Wählen Sie den Workflow aus, der Ihren Netzwerkanforderungen entspricht.
Nächste Schritte
- VPC-Firewallregeln migrieren, die keine Netzwerk-Tags und Dienstkonten verwenden
- VPC-Firewallregeln migrieren, die Netzwerktags und Dienstkonten verwenden