Présentation de la migration des règles de pare-feu VPC
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Les règles de pare-feu du cloud privé virtuel (VPC) s'appliquent à un seul réseau VPC. Pour un contrôle plus précis du trafic envoyé ou reçu par les instances de machines virtuelles (VM) de votre réseau VPC, vous pouvez utiliser des tags réseau ou des comptes de service dans les règles de pare-feu VPC. Toutefois, les règles de pare-feu VPC présentent les limites suivantes :
Pas de modification groupée : les règles de pare-feu VPC sont appliquées par règle et doivent être modifiées individuellement, ce qui peut s'avérer inefficace.
Commandes IAM (Identity and Access Management) limitées : les tags réseau n'offrent pas les commandes IAM renforcées nécessaires à la segmentation stricte du trafic.
Pour contourner les limites des règles de pare-feu VPC, Cloud Next Generation Firewall est compatible avec les stratégies de pare-feu réseau mondiales et régionales. Vous pouvez définir et appliquer des stratégies de pare-feu réseau à plusieurs réseaux VPC dans plusieurs régions. Ces règles sont également compatibles avec les tags sécurisés gérés par IAM, qui vous permettent d'appliquer un contrôle précis au niveau de la VM pour une microsegmentation sécurisée et fiable de tous les types de trafic réseau.
Pour contrôler l'accès à votre réseau VPC, vous pouvez migrer vos règles de pare-feu VPC existantes vers une stratégie de pare-feu réseau mondiale afin de profiter des fonctionnalités des stratégies de pare-feu réseau.
Avantages de la migration des règles de pare-feu VPC vers une stratégie de pare-feu réseau
Une stratégie de pare-feu réseau offre une expérience de pare-feu cohérente dans la hiérarchie des ressourcesGoogle Cloud et offre de nombreux avantages opérationnels par rapport aux règles de pare-feu VPC.
Fournit une sécurité et contrôle des accès précis à l'aide de tags gérés par IAM. Google Cloud vous permet d'associer des tags distincts à chaque interface réseau d'une VM. En fonction des tags, vous pouvez définir vos règles de stratégie de pare-feu pour limiter l'accès non autorisé à vos ressources et au trafic de charge de travail. Vous bénéficiez ainsi d'un niveau de contrôle plus précis sur vos ressources, ce qui contribue à garantir un environnement en libre-service suivant le principe du moindre privilège pour chaque groupe d'utilisateurs ou application. Les règles de pare-feu VPC utilisent des tags réseau, qui ne sont pas compatibles avec le contrôle des accès IAM.
Permet de simplifier la gestion des règles. Les stratégies de pare-feu réseau acceptent les modifications groupées, ce qui vous permet de modifier plusieurs règles au sein d'une même stratégie.
Les règles de pare-feu VPC ne fonctionnent qu'au niveau de chaque règle.
Facilité d'utilisation. Les stratégies de pare-feu réseau sont compatibles avec l'utilisation de fonctionnalités telles que les objets de nom de domaine complet, les objets de géolocalisation, la détection des menaces, la prévention des intrusions et les groupes d'adresses.
Les règles de pare-feu VPC ne sont pas compatibles avec ces fonctionnalités avancées.
Compatible avec la résidence flexible des données. Les stratégies de pare-feu réseau peuvent être appliquées à plusieurs régions ou à une seule région d'un réseau.
Les règles de pare-feu VPC ne peuvent être appliquées que globalement.
Outil de migration des règles de pare-feu VPC
L'outil de migration des règles de pare-feu VPC peut migrer automatiquement les règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale. Il s'agit d'un utilitaire de ligne de commande auquel vous pouvez accéder à l'aide de la Google Cloud CLI.
Spécifications
L'outil de migration crée une stratégie de pare-feu réseau mondiale, convertit les règles de pare-feu VPC existantes en règles de stratégie de pare-feu et ajoute les nouvelles règles à la stratégie.
Si au moins deux règles de pare-feu VPC ont la même priorité, l'outil de migration met automatiquement à jour les priorités des règles afin d'éviter tout chevauchement.
Une règle ayant une action deny dispose d'une priorité plus élevée qu'une règle ayant une action allow.
Lors de la mise à jour des priorités, l'outil conserve la séquence relative des règles de pare-feu VPC d'origine.
Par exemple, si vous avez quatre règles de pare-feu VPC avec une priorité de 1000 et une cinquième règle dont la priorité est 2000, l'outil de migration attribue un numéro de priorité unique aux quatre premières règles par la séquence suivante : 1000, 1001, 1002 et 1003. La cinquième règle dont la priorité est 2000 se voit attribuer une nouvelle priorité unique de 1004. Cela garantit que les nouvelles priorités des quatre premières règles sont supérieures à celles de toutes les règles dont la priorité est inférieure à 1000.
Si vos règles de pare-feu VPC contiennent des dépendances, telles que des tags réseau ou des comptes de service, l'outil de migration peut exploiter les tags gérés par IAM qui remplacent ces tags réseau et ces comptes de service.
Si votre réseau VPC contient des règles de pare-feu VPC et une stratégie de pare-feu réseau associée, l'outil de migration déplace les règles de pare-feu VPC compatibles et les règles de stratégie de pare-feu réseau vers la nouvelle stratégie de pare-feu réseau mondiale.
L'outil de migration conserve les paramètres des journaux des règles de pare-feu VPC existantes. Si la journalisation est activée pour une règle de pare-feu VPC, l'outil de migration la conserve. Si la journalisation est désactivée, l'outil de migration la maintient désactivée.
L'outil de migration génère uniquement la stratégie de pare-feu réseau mondiale. L'outil ne supprime pas les règles de pare-feu VPC existantes et n'associe pas la nouvelle stratégie de pare-feu réseau mondiale au réseau VPC requis. Vous devez associer manuellement la stratégie de pare-feu réseau mondiale au réseau VPC requis, puis supprimer l'association entre les règles de pare-feu VPC et le réseau VPC.
Après avoir associé la stratégie de pare-feu réseau mondiale au réseau VPC requis, vous pouvez désactiver les règles de pare-feu VPC si les règles de la stratégie de pare-feu réseau mondiale fonctionnent comme prévu.
Si nécessaire, vous pouvez associer la nouvelle stratégie de pare-feu réseau mondiale et les règles de pare-feu VPC au même réseau VPC, car les règles sont appliquées conformément à l'ordre d'évaluation des stratégies et des règles.
Cependant, nous vous recommandons de désactiver les règles de pare-feu VPC.
Scénarios de migration
Tenez compte des scénarios suivants lorsque vous migrez vos règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale :
Le schéma suivant illustre le workflow de migration pour les combinaisons de configurations précédentes. Choisissez le workflow correspondant aux exigences de votre configuration réseau.
Figure 1. Flux de migration des règles de pare-feu VPC (cliquez pour agrandir).
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eVPC firewall rules are limited to a single VPC network and lack batch editing capabilities and robust IAM controls, unlike network firewall policies.\u003c/p\u003e\n"],["\u003cp\u003eNetwork firewall policies offer enhanced control through IAM-governed secure tags, allowing for detailed micro-segmentation of network traffic at the VM level.\u003c/p\u003e\n"],["\u003cp\u003eNetwork firewall policies enable simplified management through batch editing, along with advanced features like FQDN and geolocation objects, which are not supported by VPC firewall rules.\u003c/p\u003e\n"],["\u003cp\u003eThe VPC firewall rules migration tool facilitates the conversion of existing VPC firewall rules into a global network firewall policy, automatically managing priorities and preserving log settings.\u003c/p\u003e\n"],["\u003cp\u003eMigrating to a global network firewall policy allows for greater flexibility in data residency, as it can be applied to multiple or single regions, whereas VPC firewall rules are applied globally.\u003c/p\u003e\n"]]],[],null,["# VPC firewall rules migration overview\n\nVirtual Private Cloud (VPC) firewall rules apply to a single VPC\nnetwork. To have finer control over the traffic sent or received by the virtual\nmachine (VM) instances in your VPC network, you can use\n[network tags](/vpc/docs/add-remove-network-tags) or [service accounts](/iam/docs/service-account-overview)\nin the VPC firewall rules. However, VPC firewall\nrules have the following limitations:\n\n- **No batch editing**: VPC firewall rules are applied on a\n per-rule basis and must be edited individually, which can be inefficient.\n\n- **Limited Identity and Access Management (IAM) control**: Network tags don't offer the\n robust IAM controls needed for strict traffic segmentation.\n\nTo address the limitations of VPC firewall rules,\nCloud Next Generation Firewall supports global and regional network firewall\npolicies. You can define and apply network firewall policies to multiple\nVPC networks across multiple regions. These policies also support\nIAM-governed [secure tags](/firewall/docs/tags-firewalls-overview) that let you enforce granular\ncontrol at the VM level for safe and reliable micro-segmentation of all types of\nnetwork traffic.\n\nFor more information, see [Benefits of migrating VPC firewall rules to a network firewall policy](#benefits).\n\nTo control access to your VPC network, you can migrate your existing VPC firewall rules to a global network firewall policy to take advantage of the capabilities of network firewall policies.\n\nBenefits of migrating VPC firewall rules to a network firewall policy\n---------------------------------------------------------------------\n\nA network firewall policy delivers a consistent firewall experience across the\nGoogle Cloud resource hierarchy and offers multiple operational benefits over\nVPC firewall rules.\n\n- **Provides granular security and access control by using IAM\n governed Tags**. Google Cloud lets you attach separate Tags to each\n network interface of a VM. Based on the Tags, you can define your firewall\n policy rules to restrict unauthorized access to your resources and workload\n traffic. So, you gain a finer level of control over your resources, which\n helps to ensure a least-privilege, self-service environment for each user\n group or application. VPC firewall rules use network tags,\n which don't support IAM access control.\n\n- **Enables simplified rule management**. Network firewall policies support\n batch editing, which lets you edit multiple rules within a single policy.\n VPC firewall rules operate only at a per-rule level.\n\n- **Provides ease of operations**. Network firewall policies support the use\n of features, such as fully qualified domain name (FQDN) objects,\n geolocation objects, threat detection, intrusion prevention, and address groups.\n VPC firewall rules don't support these advanced features.\n\n- **Supports flexible data residency**. Network firewall policies can be\n applied to either multiple regions or a single region of a network.\n VPC firewall rules can only be applied globally.\n\nVPC firewall rules migration tool\n---------------------------------\n\nThe VPC firewall rules migration tool can automatically migrate\nVPC firewall rules to a global network firewall policy. The tool\nis a command-line utility that you can access using the Google Cloud CLI.\n\n### Specifications\n\n- The migration tool creates a global network firewall policy, converts the\n existing VPC firewall rules into firewall policy rules, and\n adds the new rules to the policy.\n\n- If two or more VPC firewall rules have the same priority, the\n migration tool automatically updates the rule priorities to avoid any overlap.\n A rule with a `deny` action is given a higher priority than a rule with an `allow` action.\n While updating the priorities, the tool preserves the relative sequence of the\n original VPC firewall rules.\n\n For example, if you have four VPC firewall rules with a priority\n of `1000` and a fifth rule with a priority of `2000`, the migration tool\n assigns a unique priority number to the first four rules with the\n sequence---`1000`, `1001`, `1002`, and `1003`. The fifth rule with the\n priority of `2000` is assigned a new unique priority of `1004`. This ensures\n that the new priorities for the first four rules are higher than that of all\n rules that have priority lower than `1000`.\n | **Note:** Before you attach the new global network firewall policy to a VPC network, review the new priorities and make sure that the automatically generated priorities align with your original VPC network configuration.\n- If your VPC firewall rules contain dependencies, such as network\n tags or service accounts, the migration tool can take advantage of\n IAM-governed Tags that serve as a replacement to those network\n tags and services accounts.\n\n- If your VPC network contains VPC firewall\n rules and an associated network firewall policy, the migration tool moves\n the compatible VPC firewall rules as well as the network\n firewall policy rules to the new global network firewall policy.\n\n- The migration tool preserves the log settings of the existing VPC\n firewall rules. If a VPC firewall rule has logging turned on,\n the migration tool keeps it on. If logging is off, the migration tool keeps it turned off.\n\n- The migration tool generates the global network firewall policy only. The\n tool does not delete existing VPC firewall rules or associate\n the new global network firewall policy with the required VPC\n network. You must manually associate the global network firewall policy with\n the required VPC network, and then remove the association\n between the VPC firewall rules and the VPC\n network.\n\n- After you associate the global network firewall policy with the required\n VPC network, you can disable the VPC firewall\n rules if the policy rules in the global network firewall policy are working\n as intended.\n\n If necessary, you can associate the new global network firewall policy as well\n as the VPC firewall rules with the same VPC\n network because the rules are applied according to the [policy and rule\n evaluation order](/vpc/docs/firewall-policies-overview#rule-evaluation).\n However, we recommend you disable the VPC firewall rules.\n\nMigration scenarios\n-------------------\n\nConsider the following scenarios when you migrate your VPC firewall\nrules to a global network firewall policy:\n\n- [VPC firewall rules don't contain network tags or service accounts](/firewall/docs/migrate-firewall-rules-no-dependencies).\n- [VPC firewall rules contain network tags or target service accounts, or both](/firewall/docs/migrate-firewall-rules-with-dependencies).\n\nThe following diagram shows the migration workflow for the preceding configuration\ncombinations. Choose the workflow that matches your network requirements.\n[](/static/firewall/images/vpc-rules-migration.png) **Figure 1.** VPC firewall rules migration flow (click to enlarge).\n\nWhat's next\n-----------\n\n- [Migrate VPC firewall rules that don't use network tags and service accounts](/firewall/docs/migrate-firewall-rules-no-dependencies)\n- [Migrate VPC firewall rules that use network tags and service accounts](/firewall/docs/migrate-firewall-rules-with-dependencies)"]]
