Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan migrasi aturan firewall VPC

Aturan firewall Virtual Private Cloud (VPC) berlaku untuk satu jaringan VPC. Untuk memiliki kontrol yang lebih baik atas traffic yang dikirim atau diterima oleh instance virtual machine (VM) di jaringan VPC, Anda dapat menggunakan tag jaringan atau akun layanan dalam aturan firewall VPC. Namun, aturan firewall VPC memiliki batasan berikut:

Tidak ada pengeditan batch: Aturan firewall VPC diterapkan berdasarkan setiap aturan dan harus diedit satu per satu, yang dapat menjadi tidak efisien.
Kontrol Identity and Access Management (IAM) terbatas: Tag jaringan tidak menawarkan kontrol IAM yang andal yang diperlukan untuk segmentasi traffic yang ketat.

Untuk mengatasi batasan aturan firewall VPC, Cloud Next Generation Firewall mendukung kebijakan firewall jaringan global dan regional. Anda dapat menentukan dan menerapkan kebijakan firewall jaringan ke beberapa jaringan VPC di beberapa region. Kebijakan ini juga mendukung tag aman yang dikelola IAM yang memungkinkan Anda menerapkan kontrol terperinci di tingkat VM untuk segmentasi mikro yang aman dan andal dari semua jenis traffic jaringan.

Untuk mengetahui informasi selengkapnya, lihat Manfaat memigrasikan aturan firewall VPC ke kebijakan firewall jaringan.

Untuk mengontrol akses ke jaringan VPC, Anda dapat memigrasikan aturan firewall VPC yang ada ke kebijakan firewall jaringan global untuk memanfaatkan kemampuan kebijakan firewall jaringan.

Manfaat memigrasikan aturan firewall VPC ke kebijakan firewall jaringan

Kebijakan firewall jaringan memberikan pengalaman firewall yang konsisten di seluruh hierarki resourceGoogle Cloud dan menawarkan beberapa manfaat operasional dibandingkan aturan firewall VPC.

Memberikan keamanan dan kontrol akses terperinci menggunakan Tag yang diatur IAM. Google Cloud memungkinkan Anda melampirkan Tag terpisah ke setiap antarmuka jaringan VM. Berdasarkan Tag, Anda dapat menentukan aturan kebijakan firewall untuk membatasi akses yang tidak sah ke resource dan traffic workload. Jadi, Anda mendapatkan tingkat kontrol yang lebih baik atas resource, yang membantu memastikan lingkungan layanan mandiri dengan hak istimewa minimum untuk setiap grup pengguna atau aplikasi. Aturan firewall VPC menggunakan tag jaringan, yang tidak mendukung kontrol akses IAM.
Memungkinkan pengelolaan aturan yang disederhanakan. Kebijakan firewall jaringan mendukung pengeditan massal, yang memungkinkan Anda mengedit beberapa aturan dalam satu kebijakan. Aturan firewall VPC hanya beroperasi di tingkat per aturan.
Memberikan kemudahan pengoperasian. Kebijakan firewall jaringan mendukung penggunaan fitur, seperti objek nama domain yang sepenuhnya memenuhi syarat (FQDN), objek geolokasi, deteksi ancaman, pencegahan intrusi, dan grup alamat. Aturan firewall VPC tidak mendukung fitur lanjutan ini.
Mendukung residensi data yang fleksibel. Kebijakan firewall jaringan dapat diterapkan ke beberapa region atau satu region jaringan. Aturan firewall VPC hanya dapat diterapkan secara global.

Alat migrasi aturan firewall VPC

Alat migrasi aturan firewall VPC dapat otomatis memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global. Alat ini adalah utilitas command line yang dapat Anda akses menggunakan Google Cloud CLI.

Spesifikasi

Alat migrasi membuat kebijakan firewall jaringan global, mengonversi aturan firewall VPC yang ada menjadi aturan kebijakan firewall, dan menambahkan aturan baru ke kebijakan.
Jika dua atau beberapa aturan firewall VPC memiliki prioritas yang sama, alat migrasi akan otomatis memperbarui prioritas aturan untuk menghindari tumpang tindih. Aturan dengan tindakan deny diberi prioritas yang lebih tinggi daripada aturan dengan tindakan allow. Saat memperbarui prioritas, alat ini mempertahankan urutan relatif dari aturan firewall VPC asli.

Misalnya, jika Anda memiliki empat aturan firewall VPC dengan prioritas 1000 dan aturan kelima dengan prioritas 2000, alat migrasi akan menetapkan nomor prioritas unik ke empat aturan pertama dengan urutan 1000, 1001, 1002, dan 1003. Aturan kelima dengan prioritas 2000 ditetapkan prioritas unik baru 1004. Hal ini memastikan bahwa prioritas baru untuk empat aturan pertama lebih tinggi daripada semua aturan yang memiliki prioritas lebih rendah dari 1000.

Catatan: Sebelum Anda melampirkan kebijakan firewall jaringan global baru ke jaringan VPC, tinjau prioritas baru dan pastikan prioritas yang dibuat secara otomatis sesuai dengan konfigurasi jaringan VPC asli Anda.
Jika aturan firewall VPC Anda berisi dependensi, seperti tag jaringan atau akun layanan, alat migrasi dapat memanfaatkan Tag yang diatur IAM yang berfungsi sebagai pengganti tag jaringan dan akun layanan tersebut.
Jika jaringan VPC Anda berisi aturan firewall VPC dan kebijakan firewall jaringan terkait, alat migrasi akan memindahkan aturan firewall VPC yang kompatibel serta aturan kebijakan firewall jaringan ke kebijakan firewall jaringan global yang baru.
Alat migrasi tidak memigrasikan aturan firewall VPC yang dibuat secara otomatis oleh layanan Google, seperti Google Kubernetes Engine (GKE). Aturan ini akan terus ada di jaringan Anda sebagai aturan firewall VPC. Jadi, jika jaringan VPC Anda berisi resource GKE, hubungi DukunganGoogle Cloud untuk mengidentifikasi strategi terbaik guna memigrasikan aturan firewall VPC yang dibuat GKE.
Alat migrasi mempertahankan setelan log aturan firewall VPC yang ada. Jika logging diaktifkan untuk aturan firewall VPC, alat migrasi akan tetap mengaktifkannya. Jika logging dinonaktifkan, alat migrasi akan tetap menonaktifkannya.
Alat migrasi hanya membuat kebijakan firewall jaringan global. Alat ini tidak menghapus aturan firewall VPC yang ada atau mengaitkan kebijakan firewall jaringan global baru dengan jaringan VPC yang diperlukan. Anda harus mengaitkan kebijakan firewall jaringan global secara manual dengan jaringan VPC yang diperlukan, lalu menghapus pengaitan antara aturan firewall VPC dan jaringan VPC.
Setelah mengaitkan kebijakan firewall jaringan global dengan jaringan VPC yang diperlukan, Anda dapat menonaktifkan aturan firewall VPC jika aturan kebijakan dalam kebijakan firewall jaringan global berfungsi seperti yang diinginkan.

Jika perlu, Anda dapat mengaitkan kebijakan firewall jaringan global baru serta aturan firewall VPC dengan jaringan VPC yang sama karena aturan diterapkan sesuai dengan urutan evaluasi kebijakan dan aturan. Namun, sebaiknya nonaktifkan aturan firewall VPC.

Skenario migrasi

Pertimbangkan skenario berikut saat Anda memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global:

Diagram berikut menunjukkan alur kerja migrasi untuk kombinasi konfigurasi sebelumnya. Pilih alur kerja yang sesuai dengan persyaratan jaringan Anda.

Alur migrasi aturan firewall. — **Gambar 1.** Alur migrasi aturan firewall VPC (klik untuk memperbesar).