Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu réseau au niveau mondial.
Tâches liées aux stratégies de pare-feu
Créer une stratégie de pare-feu de réseau au niveau mondial
Vous pouvez créer une règle pour tout réseau VPC au sein de votre projet. Après avoir créé une stratégie, vous pouvez l'associer à n'importe quel réseau VPC de votre projet. Une fois associée, les règles de la stratégie deviennent actives pour les VM appartenant au réseau associé.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la liste des sélecteurs de projet, choisissez votre projet au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu réseau.
Attribuez un nom à la stratégie.
Pour le Champ d'application du déploiement, sélectionnez Mondial.
Pour créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle.
Pour en savoir plus, consultez la section Créer des règles de pare-feu.
Si vous souhaitez associer la stratégie à un réseau, cliquez sur Continuer, puis sur Associer la stratégie à des réseaux VPC.
Pour en savoir plus, consultez Associer une règle au réseau.
Cliquez sur Créer.
gcloud
gcloud compute network-firewall-policies create \ NETWORK_FIREWALL_POLICY_NAME --description DESCRIPTION --global
Remplacez les éléments suivants :
NETWORK_FIREWALL_POLICY_NAME
: nom de la stratégie.DESCRIPTION
: description de la stratégie.
Associer une stratégie au réseau
Associez une stratégie à un réseau pour activer les règles de la stratégie pour toutes les VM de ce réseau.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter des associations.
Sélectionnez les réseaux dans le projet.
Cliquez sur Associer.
gcloud
gcloud compute network-firewall-policies associations create \ --firewall-policy POLICY_NAME \ --network NETWORK_NAME \ [ --name ASSOCIATION_NAME ] \ --global-firewall-policy
Remplacez les éléments suivants :
POLICY_NAME
: nom court ou nom généré par le système pour la stratégie.NETWORK_NAME
: nom de votre réseau.ASSOCIATION_NAME
: nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "network-NETWORK_NAME
".
Décrire une stratégie de pare-feu de réseau au niveau mondial
Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu. De plus, de nombreux attributs sont présents dans toutes les règles de la stratégie. Ces attributs sont comptabilisés dans la limite de chaque limite de stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau mondial.
Cliquez sur la stratégie.
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \ --global
Mettre à jour la description d'une stratégie de pare-feu réseau au niveau mondial
Seul le champ Description peut être mis à jour pour la stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie de pare-feu réseau au niveau mondial.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Dans le champ Description, modifiez le texte.
Cliquez sur Enregistrer.
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \ --description DESCRIPTION \ --global
Regrouper les stratégies de pare-feu de réseau au niveau mondial
Vous pouvez afficher la liste des règles disponibles dans votre projet.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
La section Stratégies de pare-feu réseau affiche les stratégies disponibles dans votre projet.
gcloud
gcloud compute network-firewall-policies list --global
Supprimer une stratégie de pare-feu de réseau au niveau mondial
Vous devez supprimer toutes les associations d'une stratégie de pare-feu réseau au niveau mondial avant de pouvoir la supprimer.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer les associations.
Une fois toutes les associations supprimées, cliquez sur Supprimer.
gcloud
Répertoriez tous les réseaux associés à une stratégie de pare-feu :
gcloud compute network-firewall-policies describe POLICY_NAME \ --global
Supprimez les associations individuelles. Pour supprimer l'association, vous devez disposer du rôle
compute.SecurityAdmin
sur la stratégie de pare-feu réseau au niveau mondial et du rôle compute.networkAdmin sur le réseau VPC associé.gcloud compute network-firewall-policies associations delete \ --name ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --global-firewall-policy
Supprimez la stratégie :
gcloud compute network-firewall-policies delete POLICY_NAME --global
Supprimer une association
Pour arrêter l'application d'une stratégie de pare-feu sur un réseau, supprimez l'association.
Toutefois, si vous souhaitez remplacer une stratégie de pare-feu par une autre, vous n'avez pas besoin de supprimer l'association existante. Si vous supprimez cette association, aucune période ne sera appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez votre projet ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer les associations.
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \ --name ASSOCIATION_NAME --firewall-policy POLICY_NAME \ --global-firewall-policy
Tâches liées aux règles des stratégies de pare-feu
Créer des règles de pare-feu de réseau au niveau mondial
Les règles des stratégies de pare-feu de réseau au niveau mondial doivent être créées dans une stratégie de pare-feu de réseau au niveau mondial. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à un réseau VPC.
Chaque règle de stratégie de pare-feu réseau au niveau mondial peut inclure des plages IPv4 ou IPv6, mais pas les deux.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur le nom de votre règle mondiale.
Dans l'onglet Règles de pare-feu, cliquez sur Créer.
Renseignez les champs de la règle :
- Dans le champ Priorité, définissez le numéro de commande de la règle, où
0
correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100
,200
,300
). - Sélectionnez Entrée ou Sortie pour l'option Direction du trafic.
- Pour Action en cas de correspondance, choisissez l'une des options suivantes :
- Autoriser : autorise les connexions correspondant à la règle.
- Refuser : refuse les connexions correspondant à la règle.
- Passer à la suivante : transmet l'évaluation de la connexion à la règle de pare-feu inférieure suivante dans la hiérarchie.
- Procéder à l'inspection L7 : envoie les paquets au point de terminaison de pare-feu configuré pour l'inspection et la prévention de la couche 7.
- Dans la liste Groupe de profils de sécurité, sélectionnez le nom d'un groupe de profils de sécurité.
- Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
- Définissez la collecte de journaux sur Activée ou Désactivée.
- Spécifiez la Cible de la règle. Sélectionnez l'une des options suivantes pour le champ Type de cible :
- Si vous souhaitez que la règle s'applique à toutes les instances du réseau, sélectionnez Toutes les instances du réseau.
- Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction de tags, sélectionnez Tags sécurisés. Cliquez sur SELECT SCOPE (Sélectionner le champ d'application), puis sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags. Saisissez les paires clé-valeur auxquelles la règle doit s'appliquer. Pour ajouter d'autres paires clé-valeur, cliquez sur AJOUTER UN TAG.
- Si vous souhaitez que la règle s'applique à des instances spécifiques en fonction du compte de service associé, sélectionnez Compte de service, et indiquez si le compte de service se trouve dans le projet en cours ou dans un autre projet dans Champ d'application du compte de service. Choisissez ou saisissez ensuite le nom du compte de service dans le champ Compte de service cible.
- Pour une règle d'entrée, spécifiez le filtre source :
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle source IPv4. - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle source IPv6. - Pour limiter la source par tags, cliquez sur SÉLECTIONNER LE CHAMP D'APPLICATION dans la section Tags. Sélectionnez l'organisation ou le projet pour lequel vous souhaitez créer des tags. Saisissez les paires clé/valeur auxquelles la règle doit s'appliquer. Pour ajouter d'autres paires clé-valeur, cliquez sur AJOUTER UN TAG.
- Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
- Pour une règle de sortie, spécifiez le filtre de destination :
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle destination IPv4. - Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle destination IPv6.
- Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
- Facultatif : si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez la page Objets de nom de domaine.
- Facultatif : si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.
- Facultatif: si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez la section Groupes d'adresses pour les stratégies de pare-feu.
- Facultatif : si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Threat Intelligence, consultez la page Threat Intelligence pour les règles de stratégie de pare-feu.
Facultatif: pour une règle Ingress, spécifiez les filtres Destination:
- Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez
0.0.0.0/0
pour n'importe quelle destination IPv4. - Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez
::/0
pour n'importe quelle destination IPv6. Pour en savoir plus, consultez la section Destination des règles d'entrée.
- Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez
Facultatif: pour une règle Sortie, spécifiez le filtre Source:
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
0.0.0.0/0
pour n'importe quelle source IPv4. - Pour filtrer le trafic sortant par plage IPv6 source, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
::/0
pour n'importe quelle source IPv6. Pour en savoir plus, consultez la section Source pour les règles de sortie.
- Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez
Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
Cliquez sur Créer.
- Dans le champ Priorité, définissez le numéro de commande de la règle, où
Cliquez sur Ajouter une règle pour ajouter une règle.
Pour associer la règle à un réseau, cliquez sur Continuer > Associer la règle à des réseaux VPC ou sur Créer pour créer la règle.
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \ --action ACTION \ --firewall-policy POLICY_NAME \ [--security-profile-group SECURITY_PROFILE_GROUP] \ [--tls-inspect | --no-tls-inspect] \ --description DESCRIPTION \ [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \ [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \ [--direction DIRECTION] [--src-ip-ranges IP_RANGES] \ [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \ [--dest-ip-ranges IP_RANGES] \ [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \ [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \ [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \ [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \ [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] [--layer4-configs PROTOCOL_PORT] \ [--enable-logging | --no-enable-logging]\ [--disabled | --no-disabled]\ --global-firewall-policy
Remplacez les éléments suivants :
PRIORITY
: ordre d'évaluation numérique de la règle.Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0
correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple,100
,200
,300
).ACTION
: l'une des actions suivantes :allow
: autorise les connexions correspondant à la règle.deny
: refuse les connexions correspondant à la règle.apply_security_profile_group
: envoie de manière transparente les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7.goto_next
: transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
POLICY_NAME
: nom de la stratégie de pare-feu de réseau mondialSECURITY_PROFILE_GROUP
: nom d'un groupe de profils de sécurité utilisé pour l'inspection de couche 7. Ne spécifiez ce paramètre que lorsque l'actionapply_security_profile_group
est sélectionnée.--tls-inspect
: inspecte le trafic TLS à l'aide de la règle d'inspection TLS lorsque l'actionapply_security_profile_group
est sélectionnée dans la règle. Par défaut, l'inspection TLS est désactivée, ou vous pouvez spécifier--no-tls-inspect
TARGET_SECURE_TAG
: liste de tags sécurisés séparés par une virgule permettant de définir des ciblesSERVICE_ACCOUNT
: liste de comptes de service séparés par une virgule pour définir des ciblesDIRECTION
: indique si la règle est une règleingress
ouegress
(la valeur par défaut estingress
).- Incluez
--src-ip-ranges
pour spécifier les plages d'adresses IP de la source du trafic. - Incluez
--dest-ip-ranges
pour spécifier les plages d'adresses IP pour la destination du trafic.
Pour en savoir plus, consultez les sections cibles, source et destination.
- Incluez
IP_RANGES
: liste de plages d'adresses IP au format CIDR séparées par une virgule (soit des plages d'adresses IPv4 uniquement soit des plages d'adresses IPv6 uniquement,). Exemples :--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG
: liste de tags séparés par une virguleCOUNTRY_CODE
: liste de codes pays à deux lettres, séparés par une virgule- Pour la direction entrante, spécifiez les codes de pays dans le paramètre
--src-region-code
. vous ne pouvez pas utiliser le paramètre--src-region-code
pour la direction sortante. - Pour la direction sortante, les codes de pays sont spécifiés dans le paramètre
--dest-region-code
. vous ne pouvez pas utiliser le paramètre--dest-region-code
pour la direction entrante.
- Pour la direction entrante, spécifiez les codes de pays dans le paramètre
LIST_NAMES
: liste de noms des listes Threat Intelligence, séparés par une virgule- Pour la direction entrante, spécifiez les listes sources Threat Intelligence dans le paramètre
--src-threat-intelligence
. vous ne pouvez pas utiliser le paramètre--src-threat-intelligence
pour la direction sortante. - Pour la direction sortante, spécifiez les listes Threat Intelligence de destination dans le paramètre
--dest-threat-intelligence
. vous ne pouvez pas utiliser le paramètre--dest-threat-intelligence
pour la direction entrante.
- Pour la direction entrante, spécifiez les listes sources Threat Intelligence dans le paramètre
ADDR_GRP_URL
: identifiant d'URL unique du groupe d'adresses- Pour la direction entrante, spécifiez les groupes d'adresses sources dans le paramètre
--src-address-groups
. vous ne pouvez pas utiliser le paramètre--src-address-groups
pour la direction sortante. - Pour la direction sortante, spécifiez les groupes d'adresses de destination dans le paramètre
--dest-address-groups
. vous ne pouvez pas utiliser le paramètre--dest-address-groups
pour la direction entrante.
- Pour la direction entrante, spécifiez les groupes d'adresses sources dans le paramètre
DOMAIN_NAME
: liste de noms de domaines séparés par une virgule au format décrit dans la section Format des noms de domaine.- Pour la direction entrante, spécifiez les noms de domaine sources dans le paramètre
--src-fqdns
. vous ne pouvez pas utiliser le paramètre--src-fqdns
pour la direction sortante. - Pour la direction sortante, spécifiez les groupes d'adresses de destination dans le paramètre
--dest-fqdns
. vous ne pouvez pas utiliser le paramètre--dest-fqdns
pour la direction entrante.
- Pour la direction entrante, spécifiez les noms de domaine sources dans le paramètre
PROTOCOL_PORT
: liste de noms ou de numéros de protocole séparés par une virgule (tcp,17
), les protocoles et les ports de destination (tcp:80
), ou les protocoles et plages de ports de destination (tcp:5000-6000
)Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
Pour en savoir plus, consultez la section Protocoles et ports.
--enable-logging
et--no-enable-logging
: activent ou désactivent la journalisation des règles de pare-feu pour la règle donnée.--disabled
: indique que la règle de pare-feu, bien qu'elle existe, ne doit pas être prise en compte lors du traitement des connexions. Le fait d'ignorer cette option a pour effet d'activer la règle. Vous pouvez également spécifier--no-disabled
.
Mettre à jour une règle
Pour obtenir une description des champs, consultez la page Créer des règles de pare-feu.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les champs comme souhaité.
Cliquez sur Enregistrer.
gcloud
gcloud compute network-firewall-policies rules update RULE_PRIORITY \ --firewall-policy POLICY_NAME \ --global-firewall-policy \ [...fields you want to modify...]
Décrire une règle
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \ --firewall-policy POLICY_NAME --global-firewall-policy
Remplacez les éléments suivants :
PRIORITY
: priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.POLICY_NAME
: nom de la stratégie qui contient la règle.
Supprimer une règle d'une stratégie
Le fait de supprimer une règle d'une stratégie entraîne la suppression de cette règle de toutes les VM qui héritent de la règle.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \ --firewall-policy POLICY_NAME --global-firewall-policy
Remplacez les éléments suivants :
PRIORITY
: priorité de la règle que vous souhaitez supprimer de la stratégie.POLICY_NAME
: stratégie qui contient la règle.
Copier des règles d'une stratégie à une autre
Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le menu déroulant permettant de sélectionner votre projet, sélectionnez le projet contenant la stratégie.
Cliquez sur la stratégie à partir de laquelle vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Si vous souhaitez associer la nouvelle stratégie immédiatement, cliquez sur Continuer > Associer la stratégie réseau à des ressources.
Cliquez sur Clone (Cloner).
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \ --source-firewall-policy SOURCE_POLICY \ --global
Remplacez les éléments suivants :
POLICY_NAME
: stratégie cible sur laquelle vous souhaitez remplacer les règles par les règles clonées.SOURCE_POLICY
: URL de la ressource pour la stratégie source à partir de laquelle vous souhaitez cloner les règles.
Obtenir des règles de pare-feu efficaces pour un réseau
Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et la stratégie de pare-feu réseau au niveau mondial appliquée à un réseau VPC spécifié.
Console
Dans la console Google Cloud, accédez à la page Réseaux VPC.
Cliquez sur le réseau dont vous souhaitez afficher les règles des stratégies de pare-feu.
Cliquez sur Stratégies de pare-feu.
Développez chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
Remplacez les éléments suivants :
NETWORK_NAME
: réseau pour lequel vous souhaitez afficher les règles en vigueur.
Vous pouvez également afficher les règles de pare-feu efficaces pour un réseau à partir de la page Pare-feu.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Les stratégies de pare-feu sont répertoriées dans la section Stratégies de pare-feu héritées par ce projet.
Cliquez sur chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.
Obtenir des règles de pare-feu efficaces pour une interface de VM
Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et les règles des stratégies de pare-feu réseau au niveau mondial appliquées à une interface de VM Compute Engine spécifiée.
Console
Dans la console Google Cloud, accédez à la page Instances de VM.
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la VM.
Cliquez sur la VM.
Pour Interfaces réseau, cliquez sur l'interface.
Affichez les règles de pare-feu efficaces sous Détails des pare-feu et des routes.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \ [--network-interface INTERFACE \ [--zone ZONE]
Remplacez les éléments suivants :
INSTANCE_NAME
: VM pour laquelle vous souhaitez afficher les règles en vigueur. Si aucune interface n'est spécifiée, la commande renvoie des règles pour l'interface principale (nic0
).INTERFACE
: interface de VM pour laquelle vous souhaitez afficher les règles en vigueur. La valeur par défaut est nic0.ZONE
: zone de la VM. Cette ligne est facultative si la zone choisie est déjà définie comme valeur par défaut.