Virtual Private Cloud (VPC) 防火墙规则应用于单个 VPC 网络。要更精细地控制 VPC 网络中的虚拟机实例发送或接收的流量,您可以在 VPC 防火墙规则中使用网络标记或服务账号。但是,VPC 防火墙规则具有以下限制:
无批量修改:VPC 防火墙规则按规则应用,必须单独修改,效率低下。
有限的 Identity and Access Management (IAM) 控制:网络标记不提供严格流量细分所需的强大 IAM 控制。
为了满足 VPC 防火墙规则的限制,Cloud Next Generation 防火墙支持全球和区域级网络防火墙政策。您可以定义网络防火墙政策并将其应用于多个区域的多个 VPC 网络。这些政策还支持 IAM 治理的安全标记,可让您在虚拟机级层强制执行精细控制,以安全可靠地对所有类型的网络流量进行微细分。
如需了解详情,请参阅将 VPC 防火墙规则迁移到网络防火墙政策的优势。
为了利用网络防火墙政策的功能有效控制对 VPC 网络的访问,您可以将现有 VPC 防火墙规则迁移到全球网络防火墙政策。
将 VPC 防火墙规则迁移到网络防火墙政策的优势
网络防火墙政策可在 Google Cloud 资源层次结构中提供一致的防火墙体验,并且比 VPC 防火墙规则提供多种操作优势。
使用 IAM 治理的标记提供精细的安全性和访问权限控制。Google Cloud 允许您将单独的标记附加到虚拟机的每个网络接口。根据标记,您可以定义防火墙政策规则,以限制对资源和工作负载流量的未经授权的访问。因此,您可以更精细地控制资源,这有助于确保为每个用户组或应用提供最小权限的自助服务环境。VPC 防火墙规则使用不支持 IAM 访问权限控制的网络标记。
启用简化的规则管理。网络防火墙政策支持批量修改,让您可以在单个政策中修改多条规则。VPC 防火墙规则仅在每条规则级层运行。
便于操作。网络防火墙政策支持使用地址组、完全限定域名 (FQDN) 对象、地理定位对象、威胁检测和入侵防御等功能。VPC 防火墙规则不支持这些高级功能。
支持灵活的数据驻留。网络防火墙政策可以应用于网络的多个区域或单个区域。VPC 防火墙规则只能在全球范围内应用。
VPC 防火墙规则迁移工具
VPC 防火墙规则迁移工具可以将 VPC 防火墙规则自动迁移到全球网络防火墙政策。该工具是一个可以使用 Google Cloud CLI 访问的命令行实用程序。
规范
迁移工具会创建全球网络防火墙政策,将现有 VPC 防火墙规则转换为防火墙政策规则,并将新规则添加到政策。
如果两个或更多 VPC 防火墙规则具有相同的优先级,则迁移工具会自动更新规则优先级以避免任何重叠。操作为
deny的规则的优先级高于操作为allow的规则。在更新优先级时,该工具会保留原始 VPC 防火墙规则的相对序列。例如,如果您有 4 条 VPC 防火墙规则,其优先级为
1000,第 5 条规则的优先级为2000,则迁移工具会为前四条规则分配唯一的优先级编号(序列为1000、1001、1002和1003)。为优先级为2000的第五个规则分配了一个新的唯一优先级1004。这样可确保前四条规则的新优先级高于优先级低于1000的所有规则。如果您的 VPC 防火墙规则包含依赖项(例如网络标记或服务账号),则迁移工具可以利用 IAM 治理的标记来替代这些网络标记和服务账号。
如果您的 VPC 网络包含 VPC 防火墙规则和关联的网络防火墙政策,则迁移工具会将兼容的 VPC 防火墙规则以及网络防火墙政策规则迁移到新的全球网络防火墙政策。
迁移工具不会迁移 Google 服务(例如 Google Kubernetes Engine [GKE])自动创建的 VPC 防火墙规则。这些规则作为 VPC 防火墙规则继续存在于您的网络中。因此,如果您的 VPC 网络包含 GKE 资源,请与 Google Cloud 支持团队联系,以确定迁移 GKE 生成的 VPC 防火墙规则的最佳策略。
迁移工具会保留现有 VPC 防火墙规则的日志设置。如果 VPC 防火墙规则已启用日志记录,则迁移工具会使其保持启用状态。如果日志记录功能已停用,则迁移工具会保持停用状态。
迁移工具仅生成全球网络防火墙政策。该工具不会删除现有 VPC 防火墙规则,也不会将新的全球网络防火墙政策与所需的 VPC 网络相关联。您必须手动将全球网络防火墙政策与所需的 VPC 网络相关联,然后移除 VPC 防火墙规则与 VPC 网络之间的关联。
将全球网络防火墙政策与所需的 VPC 网络关联后,如果全球网络防火墙政策中的政策规则按预期工作,您可以停用 VPC 防火墙规则。
可以将新的全球网络防火墙政策以及 VPC 防火墙规则与同一 VPC 网络相关联,因为这些规则是根据政策和规则评估顺序应用的。 但是,我们建议您停用 VPC 防火墙规则。
迁移场景
在将 VPC 防火墙规则迁移到全球网络防火墙政策时,请考虑以下场景:
下图展示了上述配置组合的迁移工作流。选择符合您网络要求的工作流。
