Virtual Private Cloud (VPC) 防火墙规则适用于单个 VPC 网络。要更精细地控制 VPC 网络中的虚拟机实例发送或接收的流量,您可以在 VPC 防火墙规则中使用网络标记或服务账号。不过,VPC 防火墙规则存在以下限制:
无法批量修改:VPC 防火墙规则是按规则应用的,必须单独修改,效率较低。
Identity and Access Management (IAM) 控制有限:网络标记不提供严格流量细分所需的强大 IAM 控件。
为了解决 VPC 防火墙规则的局限性,Cloud Next Generation Firewall 支持全球和区域级网络防火墙政策。您可以跨多个区域定义网络防火墙政策并将其应用于多个 VPC 网络。这些政策还支持由 IAM 管理的安全标记,可让您在虚拟机级别强制执行精细控制,以便对所有类型的网络流量进行安全可靠的微分段。
如需了解详情,请参阅将 VPC 防火墙规则迁移到网络防火墙政策的优势。
如需控制对 VPC 网络的访问权限,您可以将现有的 VPC 防火墙规则迁移到全局网络防火墙政策,以利用网络防火墙政策的功能。
将 VPC 防火墙规则迁移到网络防火墙政策的优势
网络防火墙政策可在Google Cloud 资源层次结构中提供一致的防火墙体验,并比 VPC 防火墙规则提供更多操作方面的优势。
使用受 IAM 管理的标记提供精细的安全和访问权限控制。 Google Cloud 可让您为虚拟机的每个网络接口附加单独的标记。您可以根据标记定义防火墙政策规则,以限制对资源和工作负载流量的未经授权访问。因此,您可以对资源进行更精细的控制,从而帮助确保为每个用户群组或应用提供最小特权的“自助”环境。VPC 防火墙规则使用网络标记,不支持 IAM 访问权限控制。
支持简化规则管理。网络防火墙政策支持批量修改,可让您在单个政策中修改多个规则。VPC 防火墙规则仅在每个规则级别运行。
提供操作简便性。网络防火墙政策支持使用各种功能,例如完全限定域名 (FQDN) 对象、地理定位对象、 威胁检测、 入侵防御、 和地址组。VPC 防火墙规则不支持这些高级功能。
支持灵活的数据驻留。网络防火墙政策可以应用于网络的多个区域或单个区域。VPC 防火墙规则只能在全球范围内应用。
VPC 防火墙规则迁移工具
VPC 防火墙规则迁移工具可以自动将 VPC 防火墙规则迁移到全球网络防火墙政策。该工具是一个命令行实用程序,您可以使用 Google Cloud CLI 访问该工具。
规格
迁移工具会创建一个全球网络防火墙政策,将现有 VPC 防火墙规则转换为防火墙政策规则,并将新规则添加到该政策中。
如果两个或多个 VPC 防火墙规则具有相同的优先级,迁移工具会自动更新规则优先级,以避免任何重叠。操作为
deny的规则的优先级高于操作为allow的规则。在更新优先级时,该工具会保留原始 VPC 防火墙规则的相对顺序。例如,如果您有 4 条 VPC 防火墙规则,其优先级为
1000,第 5 条规则的优先级为2000,则迁移工具会为前四条规则分配唯一的优先级编号(序列为1000、1001、1002和1003)。优先级为2000的第五条规则会被分配一个新的唯一优先级1004。这样可确保前四条规则的新优先级高于优先级低于1000的所有规则的优先级。如果您的 VPC 防火墙规则包含依赖项(例如网络标记或服务账号),迁移工具可以利用受 IAM 管理的标记来替换这些网络标记和服务账号。
如果您的 VPC 网络包含 VPC 防火墙规则和关联的网络防火墙政策,迁移工具会将兼容的 VPC 防火墙规则以及网络防火墙政策规则移至新的全球网络防火墙政策。
迁移工具不会迁移 Google 服务(例如 Google Kubernetes Engine [GKE])自动创建的 VPC 防火墙规则。这些规则会继续作为 VPC 防火墙规则存在于您的网络中。因此,如果您的 VPC 网络包含 GKE 资源,请与 Google Cloud支持团队联系,以确定迁移 GKE 生成的 VPC 防火墙规则的最佳策略。
迁移工具会保留现有 VPC 防火墙规则的日志设置。如果 VPC 防火墙规则已启用日志记录,迁移工具会保持该状态。如果日志记录处于关闭状态,迁移工具会保持其关闭状态。
迁移工具仅生成全球网络防火墙政策。该工具不会删除现有的 VPC 防火墙规则,也不会将新的全球网络防火墙政策与所需的 VPC 网络相关联。您必须手动将全球网络防火墙政策与所需的 VPC 网络相关联,然后移除 VPC 防火墙规则与 VPC 网络之间的关联。
将全球网络防火墙政策与所需的 VPC 网络相关联后,如果全球网络防火墙政策中的政策规则按预期运行,您可以停用 VPC 防火墙规则。
如有必要,您可以将新的全球网络防火墙政策以及 VPC 防火墙规则与同一 VPC 网络相关联,因为规则是根据政策和规则评估顺序进行应用的。不过,我们建议您停用 VPC 防火墙规则。
迁移场景
在将 VPC 防火墙规则迁移到全球网络防火墙政策时,请考虑以下情况:
下图显示了上述配置组合的迁移工作流程。选择符合您网络要求的工作流。
