Diese Seite wurde von der Cloud Translation API übersetzt.

Migration von VPC-Firewallregeln – Übersicht

VPC-Firewallregeln (Virtual Private Cloud) gelten für ein einzelnes VPC-Netzwerk. Für eine genauere Kontrolle des Traffics, der von den VM-Instanzen in Ihrem VPC-Netzwerk gesendet oder empfangen wird, können Sie Netzwerk-Tags oder Dienstkonten in den VPC-Firewallregeln verwenden. VPC-Firewallregeln haben jedoch die folgenden Einschränkungen:

Keine Batch-Bearbeitung: VPC-Firewallregeln werden einzeln angewendet und müssen einzeln bearbeitet werden, was ineffizient sein kann.
Eingeschränkte IAM-Steuerung (Identity and Access Management): Netzwerk-Tags bieten nicht die robusten IAM-Steuerungen, die für eine strenge Traffic-Segmentierung erforderlich sind.

Um die Einschränkungen von VPC-Firewallregeln zu beheben, unterstützt die Cloud Next Generation Firewall globale und regionale Netzwerk-Firewallrichtlinien. Sie können Netzwerk-Firewallrichtlinien für mehrere VPC-Netzwerke in mehreren Regionen definieren und anwenden. Diese Richtlinien unterstützen auch IAM-verwaltete sichere Tags, mit denen Sie eine detaillierte Kontrolle auf VM-Ebene erzwingen können, um alle Arten von Netzwerkverkehr sicher und zuverlässig zu mikrosegmentieren.

Weitere Informationen finden Sie unter Vorteile der Migration von VPC-Firewallregeln zu einer Netzwerk-Firewallrichtlinie.

Wenn Sie den Zugriff auf Ihr VPC-Netzwerk steuern möchten, können Sie Ihre vorhandenen VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren, um die Funktionen von Netzwerk-Firewallrichtlinien zu nutzen.

Vorteile der Migration von VPC-Firewallregeln zu einer Netzwerk-Firewallrichtlinie

Eine Netzwerk-Firewallrichtlinie bietet eine konsistente Firewall in der gesamtenGoogle Cloud Ressourcenhierarchie und bietet gegenüber VPC-Firewallregeln mehrere betriebliche Vorteile.

Bietet detaillierte Sicherheit und Zugriffssteuerung durch die Verwendung von IAM-verwalteten Tags. Google Cloud Mit dieser Funktion können Sie jeder Netzwerkschnittstelle einer VM separate Tags zuweisen. Anhand der Tags können Sie Ihre Firewallrichtlinien definieren, um den unbefugten Zugriff auf Ihre Ressourcen und den Arbeitslast-Traffic einzuschränken. So haben Sie eine genauere Kontrolle über Ihre Ressourcen, was dazu beiträgt, für jede Nutzergruppe oder Anwendung eine Self-Service-Umgebung mit den geringsten Berechtigungen zu schaffen. VPC-Firewallregeln verwenden Netzwerk-Tags, die keine IAM-Zugriffssteuerung unterstützen.
Ermöglicht eine vereinfachte Regelverwaltung. Netzwerk-Firewallrichtlinien unterstützen die Bulk-Bearbeitung, mit der Sie mehrere Regeln innerhalb einer einzelnen Richtlinie bearbeiten können. VPC-Firewallregeln gelten nur auf Regelebene.
Ermöglicht eine einfache Bedienung. Netzwerk-Firewallrichtlinien unterstützen die Verwendung von Features wie FQDN-Objekten (voll qualifizierter Domainnamen), Standortbestimmungs-Objekten, Bedrohungserkennung, Einbruchsprävention und Adressgruppen. Diese erweiterten Funktionen werden von VPC-Firewallregeln nicht unterstützt.
Unterstützt flexiblen Datenstandort Netzwerk-Firewallrichtlinien können entweder auf mehrere Regionen oder auf eine einzelne Region eines Netzwerks angewendet werden. VPC-Firewallregeln können nur global angewendet werden.

Migrationstool für VPC-Firewallregeln

Mit dem Migrationstool für VPC-Firewallregeln können Sie VPC-Firewallregeln automatisch zu einer globalen Netzwerk-Firewallrichtlinie migrieren. Das Tool ist ein Befehlszeilen-Dienstprogramm, auf das Sie über die Google Cloud CLI zugreifen können.

Spezifikationen

Das Migrationstool erstellt eine globale Netzwerk-Firewallrichtlinie, konvertiert die vorhandenen VPC-Firewallregeln in Firewallrichtlinienregeln und fügt der Richtlinie die neuen Regeln hinzu.
Wenn zwei oder mehr VPC-Firewallregeln dieselbe Priorität haben, aktualisiert das Migrationstool die Regelprioritäten automatisch, um Überschneidungen zu vermeiden. Eine Regel mit der Aktion deny hat eine höhere Priorität als eine Regel mit der Aktion allow. Beim Aktualisieren der Prioritäten behält das Tool die relative Reihenfolge der ursprünglichen VPC-Firewallregeln bei.

Wenn Sie beispielsweise vier VPC-Firewallregeln mit der Priorität 1000 und eine fünfte Regel mit der Priorität 2000 haben, weist das Migrationstool den ersten vier Regeln eine eindeutige Prioritätsnummer durch die Sequenz 1000, 1001, 1002 und 1003 zu. Der fünften Regel mit der Priorität 2000 wird eine neue eindeutige Priorität von 1004 zugewiesen. Dadurch wird sichergestellt, dass die neuen Prioritäten für die ersten vier Regeln höher sind als die aller Regeln, deren Priorität unter 1000 liegt.

Hinweis: Bevor Sie die neue globale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpfen, prüfen Sie die neuen Prioritäten und achten Sie darauf, dass die automatisch generierten Prioritäten mit der ursprünglichen VPC-Netzwerkkonfiguration übereinstimmen.
Wenn Ihre VPC-Firewallregeln Abhängigkeiten wie Netzwerk-Tags oder Dienstkonten enthalten, kann das Migrationstool von IAM-verwalteten Tags profitieren, die als Ersatz für diese Netzwerk-Tags und Dienstkonten dienen.
Wenn Ihr VPC-Netzwerk VPC-Firewallregeln und eine zugehörige Netzwerk-Firewallrichtlinie enthält, verschiebt das Migrationstool die kompatiblen VPC-Firewallregeln sowie die Regeln der Netzwerk-Firewallrichtlinie in die neue globale Netzwerk-Firewallrichtlinie.
Das Migrationstool migriert nicht die VPC-Firewallregeln, die automatisch von Google-Diensten wie der Google Kubernetes Engine (GKE) erstellt werden. Diese Regeln bleiben in Ihrem Netzwerk als VPC-Firewallregeln bestehen. Wenn Ihr VPC-Netzwerk GKE-Ressourcen enthält, wenden Sie sich an den Google Cloud-Support, um die beste Strategie für die Migration von GKE generierten VPC-Firewallregeln zu finden.
Das Migrationstool behält die Protokolleinstellungen der vorhandenen VPC-Firewallregeln bei. Wenn für eine VPC-Firewallregel Logging aktiviert ist, bleibt es vom Migrationstool aktiviert. Wenn das Logging deaktiviert ist, bleibt es vom Migrationstool deaktiviert.
Das Migrationstool generiert nur die globale Netzwerk-Firewallrichtlinie. Das Tool löscht keine vorhandenen VPC-Firewallregeln und verknüpft die neue globale Netzwerk-Firewallrichtlinie nicht mit dem erforderlichen VPC-Netzwerk. Sie müssen die globale Netzwerk-Firewallrichtlinie manuell mit dem erforderlichen VPC-Netzwerk verknüpfen und dann die Verknüpfung zwischen den VPC-Firewallregeln und dem VPC-Netzwerk aufheben.
Nachdem Sie die globale Netzwerk-Firewallrichtlinie mit dem erforderlichen VPC-Netzwerk verknüpft haben, können Sie die VPC-Firewallregeln deaktivieren, wenn die Richtlinienregeln in der globalen Netzwerk-Firewallrichtlinie wie vorgesehen funktionieren.

Bei Bedarf können Sie die neue globale Netzwerk-Firewallrichtlinie und die VPC-Firewallregeln demselben VPC-Netzwerk zuordnen, da die Regeln gemäß der Reihenfolge der Richtlinien- und Regelauswertung angewendet werden. Wir empfehlen jedoch, die VPC-Firewallregeln zu deaktivieren.

Migrationsszenarien

Berücksichtigen Sie die folgenden Szenarien, wenn Sie Ihre VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie migrieren:

Das folgende Diagramm zeigt den Migrationsablauf für die vorherigen Konfigurationskombinationen. Wählen Sie den Workflow aus, der Ihren Netzwerkanforderungen entspricht.

Ablauf der Migration von Firewallregeln. — **Abbildung 1.** Ablauf der Migration von VPC-Firewallregeln (zum Vergrößern anklicken)