VPC 防火墙规则迁移概览

Virtual Private Cloud (VPC) 防火墙规则适用于单个 VPC 网络。要更精细地控制 VPC 网络中的虚拟机实例发送或接收的流量,您可以在 VPC 防火墙规则中使用网络标记服务账号。不过,VPC 防火墙规则存在以下限制:

  • 无法批量修改:VPC 防火墙规则是按规则应用的,必须单独修改,效率较低。

  • Identity and Access Management (IAM) 控制有限:网络标记不提供严格流量细分所需的强大 IAM 控件。

为了解决 VPC 防火墙规则的局限性,Cloud Next Generation Firewall 支持全球和区域级网络防火墙政策。您可以跨多个区域定义网络防火墙政策并将其应用于多个 VPC 网络。这些政策还支持由 IAM 管理的安全标记,可让您在虚拟机级别强制执行精细控制,以便对所有类型的网络流量进行安全可靠的微分段。

如需了解详情,请参阅将 VPC 防火墙规则迁移到网络防火墙政策的优势

如需控制对 VPC 网络的访问权限,您可以将现有的 VPC 防火墙规则迁移到全局网络防火墙政策,以利用网络防火墙政策的功能。

将 VPC 防火墙规则迁移到网络防火墙政策的优势

网络防火墙政策可在Google Cloud 资源层次结构中提供一致的防火墙体验,并比 VPC 防火墙规则提供更多操作方面的优势。

  • 使用受 IAM 管理的标记提供精细的安全和访问权限控制。 Google Cloud 可让您为虚拟机的每个网络接口附加单独的标记。您可以根据标记定义防火墙政策规则,以限制对资源和工作负载流量的未经授权访问。因此,您可以对资源进行更精细的控制,从而帮助确保为每个用户群组或应用提供最小特权的“自助”环境。VPC 防火墙规则使用网络标记,不支持 IAM 访问权限控制。

  • 支持简化规则管理。网络防火墙政策支持批量修改,可让您在单个政策中修改多个规则。VPC 防火墙规则仅在每个规则级别运行。

  • 提供操作简便性。网络防火墙政策支持使用各种功能,例如完全限定域名 (FQDN) 对象、地理定位对象、 威胁检测、 入侵防御、 和地址组。VPC 防火墙规则不支持这些高级功能。

  • 支持灵活的数据驻留。网络防火墙政策可以应用于网络的多个区域或单个区域。VPC 防火墙规则只能在全球范围内应用。

VPC 防火墙规则迁移工具

VPC 防火墙规则迁移工具可以自动将 VPC 防火墙规则迁移到全球网络防火墙政策。该工具是一个命令行实用程序,您可以使用 Google Cloud CLI 访问该工具。

规格

  • 迁移工具会创建一个全球网络防火墙政策,将现有 VPC 防火墙规则转换为防火墙政策规则,并将新规则添加到该政策中。

  • 如果两个或多个 VPC 防火墙规则具有相同的优先级,迁移工具会自动更新规则优先级,以避免任何重叠。操作为 deny 的规则的优先级高于操作为 allow 的规则。在更新优先级时,该工具会保留原始 VPC 防火墙规则的相对顺序。

    例如,如果您有 4 条 VPC 防火墙规则,其优先级为 1000,第 5 条规则的优先级为 2000,则迁移工具会为前四条规则分配唯一的优先级编号(序列为 1000100110021003)。优先级为 2000 的第五条规则会被分配一个新的唯一优先级 1004。这样可确保前四条规则的新优先级高于优先级低于 1000 的所有规则的优先级。

  • 如果您的 VPC 防火墙规则包含依赖项(例如网络标记或服务账号),迁移工具可以利用受 IAM 管理的标记来替换这些网络标记和服务账号。

  • 如果您的 VPC 网络包含 VPC 防火墙规则和关联的网络防火墙政策,迁移工具会将兼容的 VPC 防火墙规则以及网络防火墙政策规则移至新的全球网络防火墙政策。

  • 迁移工具不会迁移 Google 服务(例如 Google Kubernetes Engine [GKE])自动创建的 VPC 防火墙规则。这些规则会继续作为 VPC 防火墙规则存在于您的网络中。因此,如果您的 VPC 网络包含 GKE 资源,请与 Google Cloud支持团队联系,以确定迁移 GKE 生成的 VPC 防火墙规则的最佳策略。

  • 迁移工具会保留现有 VPC 防火墙规则的日志设置。如果 VPC 防火墙规则已启用日志记录,迁移工具会保持该状态。如果日志记录处于关闭状态,迁移工具会保持其关闭状态。

  • 迁移工具仅生成全球网络防火墙政策。该工具不会删除现有的 VPC 防火墙规则,也不会将新的全球网络防火墙政策与所需的 VPC 网络相关联。您必须手动将全球网络防火墙政策与所需的 VPC 网络相关联,然后移除 VPC 防火墙规则与 VPC 网络之间的关联。

  • 将全球网络防火墙政策与所需的 VPC 网络相关联后,如果全球网络防火墙政策中的政策规则按预期运行,您可以停用 VPC 防火墙规则。

    如有必要,您可以将新的全球网络防火墙政策以及 VPC 防火墙规则与同一 VPC 网络相关联,因为规则是根据政策和规则评估顺序进行应用的。不过,我们建议您停用 VPC 防火墙规则。

迁移场景

在将 VPC 防火墙规则迁移到全球网络防火墙政策时,请考虑以下情况:

下图显示了上述配置组合的迁移工作流程。选择符合您网络要求的工作流。

防火墙规则迁移流程。
图 1. VPC 防火墙规则迁移流程(点击可放大)。

后续步骤