Utilizzare i tag per i firewall

Crea i tag prima di provare ad associarli alle risorse o a utilizzarli e i criteri firewall di rete. Per controllare l'accesso alla rete, i tag vengono non è efficace se associato a istanze VM.

Per una panoramica, consulta Tag per i firewall.

Concedi le autorizzazioni ai tag

Il ruolo tagAdmin ti consente di creare nuovi tag o di aggiornare ed eliminare quelli esistenti Tag. Un amministratore dell'organizzazione può concedere questo ruolo all'interno dell'organizzazione e un proprietario del progetto può concederlo a livello di progetto.

gcloud

  1. Concedi il ruolo tagAdmin all'utente.

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagAdmin
    

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID della tua organizzazione
    • EMAIL_ADDRESS: l'indirizzo email dell'utente
  2. Concedi il ruolo tagUser all'utente.

    gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagUser
    

    Sostituisci quanto segue:

    • ORGANIZATION_ID: ID della tua organizzazione
    • TAG_KEY: la chiave Tag
    • EMAIL_ADDRESS: l'indirizzo email dell'utente

Ruoli personalizzati per gestire i tag

Il ruolo tagAdmin ti consente di eseguire le seguenti azioni: creare nuovi tag, aggiornare ed eliminare i tag esistenti. Se hai bisogno di alcune di queste funzionalità, puoi creare un ruolo IAM personalizzato con le autorizzazioni pertinenti e assegnare il nuovo ruolo all'utente di destinazione. Per l'elenco delle autorizzazioni pertinenti, consulta IAM. autorizzazioni.

I tag utilizzati nei criteri firewall devono essere designati con un Scopo GCE_FIREWALL. Sebbene lo scopo GCE_FIREWALL sia obbligatorio per l'utilizzo del tag nelle funzionalità di rete, puoi utilizzarlo per altre azioni.

I tag utilizzati nei criteri firewall di rete devono avere un ambito limitato a un un singolo VPC.

Creare le chiavi e i valori tag

Prima di associare tag ai criteri firewall di rete, devi creare il tag le chiavi e i valori.

gcloud

  1. Dopo aver ottenuto le autorizzazioni richieste, crea la chiave tag.

    gcloud resource-manager tags keys create TAG_KEY \
       --parent organizations/ORGANIZATION_ID \
       --purpose GCE_FIREWALL \
       --purpose-data network=PROJECT_ID/NETWORK
    

    Sostituisci quanto segue:

    • TAG_KEY: la chiave Tag
    • ORGANIZATION_ID: ID della tua organizzazione
    • PROJECT_ID: l'ID del tuo progetto
    • NETWORK: il nome della tua rete
  2. Aggiungi i valori di tag pertinenti alle chiavi tag. esegui il comando. più volte per aggiungere più valori. Assicurati che ogni valore di tag aggiunto alla chiave tag sia univoca.

    gcloud resource-manager tags values create TAG_VALUE \
       --parent ORGANIZATION_ID/TAG_KEY
    

    Sostituisci quanto segue:

    • ORGANIZATION_ID: ID della tua organizzazione
    • TAG_KEY: la chiave Tag
    • TAG_VALUE: il valore da assegnare alla chiave Tag

Crea un criterio firewall di rete

Dopo aver creato un tag, puoi utilizzarlo nei criteri firewall di rete. In caso contrario se è già presente un criterio firewall di rete, creane uno nuovo.

gcloud

  1. Creare un criterio firewall di rete.

    gcloud compute network-firewall-policies create \
       FIREWALL_POLICY_NAME \
       --global
    

    Sostituisci quanto segue:

    • FIREWALL_POLICY_NAME: il nome della nuova rete criterio firewall di rete globale

Crea una regola di criterio firewall con tag

Dopo aver creato un tag e un criterio firewall di rete, puoi creare una rete regola del criterio firewall con i valori del tag di origine e i valori del tag di destinazione specifici per consentire il traffico desiderato tra le VM con i tag di origine tag di destinazione.

gcloud

  1. Crea una regola del criterio firewall di rete con l'origine e la destinazione specifiche le chiavi e i valori.

    gcloud compute network-firewall-policies rules create 1 \
        --firewall-policy FIREWALL_POLICY_NAME \
        --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
        --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
        --direction DIRECTION \
        --action ACTION \
        --layer4-configs tcp:PORT \
        --global-firewall-policy
    

    Sostituisci quanto segue:

    • FIREWALL_POLICY_NAME: il nome del nuovo criterio di firewall di rete globale
    • ORGANIZATION_ID: ID della tua organizzazione
    • TAG_KEY: la chiave Tag
    • TAG_VALUE: il valore da assegnare alla chiave tag
    • DIRECTION: indica se la regola è ingress o egress regola
    • ACTION: una delle seguenti azioni:
      • allow: consente le connessioni che corrispondono alla regola
      • deny: nega le connessioni che corrispondono alla regola
      • goto_next: passa la valutazione della connessione al livello successivo tra la gerarchia, ovvero una cartella o
    • PORT: il numero di porta per accedere alla risorsa

Associa tag alle istanze VM

Gli amministratori dei tag possono associare i tag a singole istanze VM.

Associare un tag a una risorsa allega un valore Tag a una risorsa. Sebbene un tag possa avere più valori per una determinata chiave, puoi associare solo un valore per chiave tag a una risorsa. Ad esempio, non puoi legare entrambi i valori dei tag web-backend e mysql alla stessa istanza VM perché appartengono alla stessa chiave tag vm-function.

Ad esempio, lo sviluppatore Sasha vuole configurare un'applicazione che consta un backend API e un archivio di database di supporto. Per consentire il traffico tra il backend e il server di database, Sasha deve associare i valori dei tag web-backend e mysql a VM diverse.

gcloud

  1. Concedi il ruolo tagUser.

    gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagUser
    

    Sostituisci quanto segue:

    • ORGANIZATION_ID: ID della tua organizzazione
    • TAG_KEY: la chiave Tag
    • EMAIL_ADDRESS: l'indirizzo email dell'utente

    In questo comando, all'utente viene concesso l'utilizzo di tutte le risorse attuali e future valori della chiave. Puoi anche concedere l'accesso in modo selettivo solo a valori specifici di un tag, come segue:

    gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagUser
    

    Sostituisci quanto segue:

    • ORGANIZATION_ID: ID della tua organizzazione
    • TAG_KEY: la chiave Tag
    • TAG_VALUE: il valore da assegnare alla chiave tag
    • EMAIL_ADDRESS: l'indirizzo email dell'utente
  2. Concedi il ruolo tagUser alle risorse a cui vuoi associare i tag.

    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=user:EMAIL_ADDRESS \
       --role=roles/resourcemanager.tagUser
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto
    • EMAIL_ADDRESS: l'indirizzo email dell'utente
  3. Ottieni il valore PARENT per la coppia chiave-valore tag:

    1. Definisci il prefisso del nome completo per il progetto e la zona:

      FULL_NAME_PREFIX=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/
      
    2. Recupera l'ID VM:

      VM_ID=$(gcloud compute instances describe VM_NAME --zone ZONE--format='value(id)')
      
    3. Concatena i valori di FULL_NAME_PREFIX e VM_ID:

      PARENT="$FULL_NAME_PREFIX$VM_ID"
      echo $PARENT
      

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del progetto
    • ZONE: la zona in cui si trova la VM
    • VM_NAME: il nome della VM su cui stai lavorando
  4. Elenca le associazioni.

    gcloud resource-manager tags bindings list \
       --location LOCATION_NAME \
       --parent PARENT
    

    Sostituisci quanto segue:

    • LOCATION_NAME: la posizione a cui appartiene il tag; qui, la zona dell'istanza VM
    • PARENT: il nome completo della risorsa associata alla associazione, come dedotto nel comando precedente
  5. Elimina e crea le associazioni.

    gcloud resource-manager tags bindings delete \
       --location LOCATION_NAME \
       --tag-value ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
       --parent PARENT
    
    gcloud resource-manager tags bindings create \
       --location LOCATION_NAME \
       --tag-value ORGANIZATION_ID/TAG_KEY/TAG_VALUE \
       --parent PARENT
    

    Sostituisci quanto segue:

    • LOCATION_NAME: la posizione a cui appartiene il tag
    • ORGANIZATION_ID: l'ID della tua organizzazione
    • TAG_KEY: la chiave Tag
    • TAG_VALUE: il valore della chiave tag
    • PARENT: il nome completo della risorsa da collegare al valore tag

Utilizzare i tag in reti connesse in peer

Puoi utilizzare i tag nel peering di rete. Esegui le seguenti attività nell'ordine specificato per utilizzare i tag in due reti connesse in peer.

  1. Assegna il ruolo tagAdmin a due utenti: uno in ogni rete di peer. Un amministratore dell'organizzazione concede i ruoli di tagAdmin a utenti a livello di organizzazione e un proprietario del progetto può concederlo a livello di progetto.
  2. Consenti al primo utente della rete di creare chiavi e valori tag nella la prima rete.
  3. Consenti all'utente della seconda rete di creare chiavi e valori dei tag nella seconda rete.
  4. Concedi le autorizzazioni necessarie a entrambi gli utenti per associare i tag in entrambe le reti.
  5. Collega i tag agli utenti e alle risorse della prima rete.
  6. Associa i tag a utenti e risorse nella seconda rete.
  7. All'utente della seconda rete, concedi le autorizzazioni tagUser nella prima rete.
  8. All'utente della prima rete, concedi le autorizzazioni tagUser. nella seconda rete.
  9. Crea una regola di criterio firewall nella prima rete.
  10. Crea una regola del criterio firewall nella seconda rete.

Passaggi successivi