Panoramica della migrazione delle regole firewall VPC
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Le regole firewall Virtual Private Cloud (VPC) si applicano a una singola rete VPC. Per avere un controllo più preciso sul traffico inviato o ricevuto dalle istanze di macchine virtuali (VM) nella tua rete VPC, puoi utilizzare i tag di rete o gli account di servizio nelle regole firewall VPC. Tuttavia, le regole firewall VPC
presentano le seguenti limitazioni:
Nessuna modifica batch: le regole firewall VPC vengono applicate in base a ciascuna regola e devono essere modificate singolarmente, il che può essere inefficiente.
Controllo Identity and Access Management (IAM) limitato: i tag di rete non offrono i controlli IAM robusti necessari per una segmentazione rigorosa del traffico.
Per risolvere i limiti delle regole firewall VPC, Cloud Next Generation Firewall supporta policy firewall di rete globali e regionali. Puoi definire e applicare policy firewall di rete a più reti VPC in più regioni. Queste policy supportano anche i tag sicuri regolati da IAM, che consentono di applicare un controllo granulare a livello di VM per una microsegmentazione sicura e affidabile di tutti i tipi di traffico di rete.
Per controllare l'accesso alla tua rete VPC, puoi eseguire la migrazione delle regole firewall VPC esistenti a un criterio firewall di rete globale per sfruttare le funzionalità dei criteri firewall di rete.
Vantaggi della migrazione delle regole firewall VPC a un criterio firewall di rete
Un criterio firewall di rete offre un'esperienza firewall coerente in tutta la
gerarchia delle risorseGoogle Cloud e offre numerosi vantaggi operativi rispetto alle
regole firewall VPC.
Fornisce un controllo granulare della sicurezza e dell'accesso utilizzando i tag gestiti da IAM. Google Cloud Consente di collegare tag separati a ogni interfaccia di rete di una VM. In base ai tag, puoi definire le regole dei criteri firewall per limitare l'accesso non autorizzato alle risorse e al traffico dei carichi di lavoro. In questo modo, ottieni un controllo più preciso delle tue risorse, il che
contribuisce a garantire un ambiente self-service con privilegi minimi per ogni gruppo
di utenti o applicazione. Le regole firewall VPC utilizzano i tag di rete,
che non supportano il controllo dell'accesso IAM.
Consente la gestione semplificata delle regole. I criteri firewall di rete supportano
la modifica batch, che consente di modificare più regole all'interno di un singolo criterio.
Le regole firewall VPC operano solo a livello di singola regola.
Semplifica le operazioni. I criteri firewall di rete supportano l'utilizzo
di funzionalità come oggetti di nome di dominio completo (FQDN),
oggetti di geolocalizzazione, rilevamento delle minacce, prevenzione delle intrusioni e gruppi di indirizzi.
Le regole firewall VPC non supportano queste funzionalità avanzate.
Supporta la residenza dei dati flessibile. I criteri firewall di rete possono essere applicati a più regioni o a una singola regione di una rete.
Le regole firewall VPC possono essere applicate solo a livello globale.
Strumento di migrazione delle regole firewall VPC
Lo strumento di migrazione delle regole firewall VPC può eseguire automaticamente la migrazione
delle regole firewall VPC a un criterio firewall di rete globale. Lo strumento
è un'utilità a riga di comando a cui puoi accedere utilizzando Google Cloud CLI.
Specifiche
Lo strumento di migrazione crea una policy firewall di rete globale, converte le regole firewall VPC esistenti in regole della policy firewall e aggiunge le nuove regole alla policy.
Se due o più regole firewall VPC hanno la stessa priorità, lo strumento di migrazione aggiorna automaticamente le priorità delle regole per evitare sovrapposizioni.
A una regola con un'azione deny viene assegnata una priorità più elevata rispetto a una regola con un'azione allow.
Durante l'aggiornamento delle priorità, lo strumento conserva la sequenza relativa delle
regole firewall VPC originali.
Ad esempio, se hai quattro regole firewall VPC con priorità
1000 e una quinta regola con priorità 2000, lo strumento di migrazione
assegna un numero di priorità univoco alle prime quattro regole con la
sequenza 1000, 1001, 1002 e 1003. Alla quinta regola con priorità 2000 viene assegnata una nuova priorità univoca pari a 1004. In questo modo, le nuove priorità delle prime quattro regole sono superiori a quelle di tutte le regole con priorità inferiore a 1000.
Se le regole firewall VPC contengono dipendenze, come tag di rete o account di servizio, lo strumento di migrazione può sfruttare i tag gestiti da IAM che fungono da sostituzione di questi tag di rete e account di servizio.
Se la tua rete VPC contiene regole firewall VPC e criteri firewall di rete associati, lo strumento di migrazione sposta le regole firewall VPC compatibili e le regole dei criteri firewall di rete nei nuovi criteri firewall di rete globali.
Lo strumento di migrazione conserva le impostazioni di logging delle regole firewall VPC esistenti. Se una regola firewall VPC ha la registrazione attivata,
lo strumento di migrazione la mantiene attiva. Se la registrazione è disattivata, lo strumento di migrazione la mantiene disattivata.
Lo strumento di migrazione genera solo la policy firewall di rete globale. Lo
strumento non elimina le regole firewall VPC esistenti né associa
il nuovo criterio firewall di rete globale alla rete VPC
richiesta. Devi associare manualmente il criterio firewall di rete globale alla rete VPC richiesta, quindi rimuovere l'associazione tra le regole firewall VPC e la rete VPC.
Dopo aver associato la policy firewall di rete globale alla rete VPC richiesta, puoi disattivare le regole firewall VPC se le regole della policy nella policy firewall di rete globale funzionano come previsto.
Se necessario, puoi associare la nuova policy firewall di rete globale e le regole firewall VPC alla stessa rete VPC perché le regole vengono applicate in base all'ordine di valutazione di policy e regole.
Tuttavia, ti consigliamo di disabilitare le regole firewall VPC.
Scenari di migrazione
Considera i seguenti scenari quando esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale:
Il seguente diagramma mostra il flusso di lavoro di migrazione per le combinazioni di configurazione precedenti. Scegli il flusso di lavoro che corrisponde ai requisiti della tua rete.
Figura 1. Flusso di migrazione delle regole firewall VPC (fai clic per ingrandire).
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eVPC firewall rules are limited to a single VPC network and lack batch editing capabilities and robust IAM controls, unlike network firewall policies.\u003c/p\u003e\n"],["\u003cp\u003eNetwork firewall policies offer enhanced control through IAM-governed secure tags, allowing for detailed micro-segmentation of network traffic at the VM level.\u003c/p\u003e\n"],["\u003cp\u003eNetwork firewall policies enable simplified management through batch editing, along with advanced features like FQDN and geolocation objects, which are not supported by VPC firewall rules.\u003c/p\u003e\n"],["\u003cp\u003eThe VPC firewall rules migration tool facilitates the conversion of existing VPC firewall rules into a global network firewall policy, automatically managing priorities and preserving log settings.\u003c/p\u003e\n"],["\u003cp\u003eMigrating to a global network firewall policy allows for greater flexibility in data residency, as it can be applied to multiple or single regions, whereas VPC firewall rules are applied globally.\u003c/p\u003e\n"]]],[],null,["# VPC firewall rules migration overview\n\nVirtual Private Cloud (VPC) firewall rules apply to a single VPC\nnetwork. To have finer control over the traffic sent or received by the virtual\nmachine (VM) instances in your VPC network, you can use\n[network tags](/vpc/docs/add-remove-network-tags) or [service accounts](/iam/docs/service-account-overview)\nin the VPC firewall rules. However, VPC firewall\nrules have the following limitations:\n\n- **No batch editing**: VPC firewall rules are applied on a\n per-rule basis and must be edited individually, which can be inefficient.\n\n- **Limited Identity and Access Management (IAM) control**: Network tags don't offer the\n robust IAM controls needed for strict traffic segmentation.\n\nTo address the limitations of VPC firewall rules,\nCloud Next Generation Firewall supports global and regional network firewall\npolicies. You can define and apply network firewall policies to multiple\nVPC networks across multiple regions. These policies also support\nIAM-governed [secure tags](/firewall/docs/tags-firewalls-overview) that let you enforce granular\ncontrol at the VM level for safe and reliable micro-segmentation of all types of\nnetwork traffic.\n\nFor more information, see [Benefits of migrating VPC firewall rules to a network firewall policy](#benefits).\n\nTo control access to your VPC network, you can migrate your existing VPC firewall rules to a global network firewall policy to take advantage of the capabilities of network firewall policies.\n\nBenefits of migrating VPC firewall rules to a network firewall policy\n---------------------------------------------------------------------\n\nA network firewall policy delivers a consistent firewall experience across the\nGoogle Cloud resource hierarchy and offers multiple operational benefits over\nVPC firewall rules.\n\n- **Provides granular security and access control by using IAM\n governed Tags**. Google Cloud lets you attach separate Tags to each\n network interface of a VM. Based on the Tags, you can define your firewall\n policy rules to restrict unauthorized access to your resources and workload\n traffic. So, you gain a finer level of control over your resources, which\n helps to ensure a least-privilege, self-service environment for each user\n group or application. VPC firewall rules use network tags,\n which don't support IAM access control.\n\n- **Enables simplified rule management**. Network firewall policies support\n batch editing, which lets you edit multiple rules within a single policy.\n VPC firewall rules operate only at a per-rule level.\n\n- **Provides ease of operations**. Network firewall policies support the use\n of features, such as fully qualified domain name (FQDN) objects,\n geolocation objects, threat detection, intrusion prevention, and address groups.\n VPC firewall rules don't support these advanced features.\n\n- **Supports flexible data residency**. Network firewall policies can be\n applied to either multiple regions or a single region of a network.\n VPC firewall rules can only be applied globally.\n\nVPC firewall rules migration tool\n---------------------------------\n\nThe VPC firewall rules migration tool can automatically migrate\nVPC firewall rules to a global network firewall policy. The tool\nis a command-line utility that you can access using the Google Cloud CLI.\n\n### Specifications\n\n- The migration tool creates a global network firewall policy, converts the\n existing VPC firewall rules into firewall policy rules, and\n adds the new rules to the policy.\n\n- If two or more VPC firewall rules have the same priority, the\n migration tool automatically updates the rule priorities to avoid any overlap.\n A rule with a `deny` action is given a higher priority than a rule with an `allow` action.\n While updating the priorities, the tool preserves the relative sequence of the\n original VPC firewall rules.\n\n For example, if you have four VPC firewall rules with a priority\n of `1000` and a fifth rule with a priority of `2000`, the migration tool\n assigns a unique priority number to the first four rules with the\n sequence---`1000`, `1001`, `1002`, and `1003`. The fifth rule with the\n priority of `2000` is assigned a new unique priority of `1004`. This ensures\n that the new priorities for the first four rules are higher than that of all\n rules that have priority lower than `1000`.\n | **Note:** Before you attach the new global network firewall policy to a VPC network, review the new priorities and make sure that the automatically generated priorities align with your original VPC network configuration.\n- If your VPC firewall rules contain dependencies, such as network\n tags or service accounts, the migration tool can take advantage of\n IAM-governed Tags that serve as a replacement to those network\n tags and services accounts.\n\n- If your VPC network contains VPC firewall\n rules and an associated network firewall policy, the migration tool moves\n the compatible VPC firewall rules as well as the network\n firewall policy rules to the new global network firewall policy.\n\n- The migration tool preserves the log settings of the existing VPC\n firewall rules. If a VPC firewall rule has logging turned on,\n the migration tool keeps it on. If logging is off, the migration tool keeps it turned off.\n\n- The migration tool generates the global network firewall policy only. The\n tool does not delete existing VPC firewall rules or associate\n the new global network firewall policy with the required VPC\n network. You must manually associate the global network firewall policy with\n the required VPC network, and then remove the association\n between the VPC firewall rules and the VPC\n network.\n\n- After you associate the global network firewall policy with the required\n VPC network, you can disable the VPC firewall\n rules if the policy rules in the global network firewall policy are working\n as intended.\n\n If necessary, you can associate the new global network firewall policy as well\n as the VPC firewall rules with the same VPC\n network because the rules are applied according to the [policy and rule\n evaluation order](/vpc/docs/firewall-policies-overview#rule-evaluation).\n However, we recommend you disable the VPC firewall rules.\n\nMigration scenarios\n-------------------\n\nConsider the following scenarios when you migrate your VPC firewall\nrules to a global network firewall policy:\n\n- [VPC firewall rules don't contain network tags or service accounts](/firewall/docs/migrate-firewall-rules-no-dependencies).\n- [VPC firewall rules contain network tags or target service accounts, or both](/firewall/docs/migrate-firewall-rules-with-dependencies).\n\nThe following diagram shows the migration workflow for the preceding configuration\ncombinations. Choose the workflow that matches your network requirements.\n[](/static/firewall/images/vpc-rules-migration.png) **Figure 1.** VPC firewall rules migration flow (click to enlarge).\n\nWhat's next\n-----------\n\n- [Migrate VPC firewall rules that don't use network tags and service accounts](/firewall/docs/migrate-firewall-rules-no-dependencies)\n- [Migrate VPC firewall rules that use network tags and service accounts](/firewall/docs/migrate-firewall-rules-with-dependencies)"]]
