Utiliser des stratégies de pare-feu hiérarchiques

Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu hiérarchiques. Pour consulter des exemples de mises en œuvre de stratégies de pare-feu hiérarchiques, consultez la section Exemples de stratégies de pare-feu hiérarchiques.

Limites

  • Les règles des stratégies de pare-feu hiérarchiques ne peuvent utiliser que des plages d'adresses IP pour définir des sources pour les règles d'entrée. Les tags sources et les comptes de service sources ne sont compatibles qu'avec les règles de pare-feu VPC.
  • Les règles des stratégies de pare-feu hiérarchiques ne permettent pas d'utiliser des tags réseau pour définir des cibles. Vous devez plutôt utiliser un réseau VPC cible ou un compte de service cible.
  • Les stratégies de pare-feu peuvent être appliquées au niveau du dossier et de l'organisation, mais pas au niveau du réseau VPC. Les stratégies de pare-feu VPC standards sont acceptées pour les réseaux VPC.
  • Une seule stratégie de pare-feu peut être associée à un nœud (dossier ou organisation), bien que les instances de machine virtuelle (VM) d'un dossier puissent hériter des règles de la hiérarchie de nœuds complète au-dessus de la VM.
  • La journalisation des règles de pare-feu est compatible avec les règles allow et deny, mais pas avec les règles goto_next.
  • Les adresses IPv6 ne sont pas compatibles.

Tâches liées aux stratégies de pare-feu

Créer une stratégie de pare-feu

Vous pouvez créer une stratégie sur n'importe quel nœud, organisation ou dossier de votre hiérarchie. Après avoir créé une stratégie, vous pouvez l'associer à n'importe quel nœud de votre organisation. Une fois associée, les règles de la stratégie deviennent actives pour les VM situées sous le nœud associé dans la hiérarchie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou un dossier au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Attribuez un nom à la stratégie.

  5. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle.

    Pour en savoir plus, consultez la section Créer des règles de pare-feu.

  6. Si vous souhaitez associer la stratégie à un nœud, cliquez sur Continuer, puis sur Associer.

    Pour en savoir plus, consultez la section Associer une stratégie à l'organisation ou à un dossier.

  7. Cliquez sur Créer.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Renseignez les champs suivants :

  • ORG_ID : ID de votre organisation.
    Spécifiez cet ID si vous créez la stratégie au niveau de l'organisation. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie au nœud de l'organisation.
  • FOLDER_ID: ID d'un dossier.
    Spécifiez cet ID si vous créez la stratégie dans un dossier donné. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie au dossier.
  • SHORT_NAME : nom de la stratégie
    Une stratégie créée à l'aide de l'outil de ligne de commande gcloud possède deux noms : un nom généré par le système et un nom court que vous avez fourni. Lorsque vous mettez à jour une stratégie existante à l'aide de l'outil de ligne de commande gcloud, vous pouvez indiquer le nom généré par le système ou le nom court et l'ID de l'organisation. Lorsque vous utilisez l'API pour mettre à jour la stratégie, vous devez fournir le nom généré par le système.

Créer des règles de pare-feu

Les règles des stratégies de pare-feu hiérarchiques doivent être créées dans une stratégie de pare-feu hiérarchique. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à un nœud.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.

  3. Cliquez sur le nom de votre stratégie.

  4. Cliquez sur Ajouter une règle.

  5. Renseignez les champs de la règle :

    1. Priorité : ordre d'évaluation numérique de la règle. Une règle de priorité 1 est évaluée en premier. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
    2. Définissez la collecte de journaux sur Activée ou Désactivée.
    3. Sous Sens du trafic, indiquez si cette règle est une règle d'entrée ou de sortie.
    4. Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser), ou si l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante de la hiérarchie (Déléguer au niveau suivant).
    5. Facultatif : vous pouvez limiter la règle à certains réseaux en les spécifiant dans le champ Réseau cible.
    6. Facultatif : vous pouvez limiter la règle aux VM en cours d'exécution qui ont accès à certains comptes de service en spécifiant ces comptes dans le champ Compte de service cible.
    7. Si vous créez une règle d'entrée, spécifiez les plages d'adresses IP sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, spécifiez les plages d'adresses IP de destination auxquelles cette règle s'applique. Dans les deux cas, spécifiez 0.0.0.0/0 pour toutes les adresses IP.
    8. Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
    9. Cliquez sur Create (Créer).
  6. Cliquez sur Ajouter une règle pour ajouter une règle. Cliquez sur Continuer > Associer pour associer la règle à un nœud ou sur Créer pour créer la règle.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    --action ACTION \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources=NETWORKS] \
    [--target-service-accounts=SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Renseignez les champs suivants :

  • PRIORITY : ordre d'évaluation numérique de la règle
    Une règle dont la priorité est 1 est évaluée en premier. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
  • ORG_ID : ID de votre organisation.
  • POLICY_NAME : le nom court ou le nom généré par le système de la stratégie
  • DIRECTION : indique si la règle est une règle ingress ou egress (la valeur par défaut est ingress).
    • Si DIRECTION est défini sur ingress, ajoutez --src-ip-ranges.
    • Si DIRECTION est défini sur egress, ajoutez --dest-ip-ranges.
  • IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Par exemple :
    --src-ip-ranges 10.100.0.1/32,10.200.0.0/24
  • ACTION : l'une des actions suivantes :
    • allow : autorise les connexions correspondant à la règle.
    • deny : refuse les connexions correspondant à la règle.
    • goto_next : transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
  • PROTOCOL_PORT : liste de protocoles séparés par une virgule (tcp, udp, icmp, esp, ah, sctp), de protocoles et de ports de destination (tcp:80) ou de protocoles et de plages de ports de destination (tcp:5000-6000).
    Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple 
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
  • NETWORKS : liste de réseaux séparés par une virgule auxquels cette règle est appliquée. Si vous omettez cette option, la règle s'applique à tous les réseaux du nœud. Pour en savoir plus, consultez la page Cibles.
  • SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule. La règle n'est appliquée qu'aux VM en cours d'exécution qui ont accès au compte de service spécifié. Pour en savoir plus, consultez la section Cibles
  • --enable-logging et --no-enable-logging : activent ou désactivent la journalisation des règles de pare-feu pour la règle donnée.
  • --disabled : indique que la règle de pare-feu, bien qu'elle existe, ne doit pas être prise en compte lors du traitement des connexions. La suppression de cette option a pour effet d'activer la règle. Vous pouvez également spécifier --no-disabled.

Associer une stratégie à l'organisation ou au dossier

Associez une stratégie à un nœud pour activer les règles de la stratégie pour toutes les VM situées sous le nœud de la hiérarchie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associée à.

  5. Cliquez sur Associer.

  6. Sélectionnez l'organisation racine ou sélectionnez des dossiers au sein de celle-ci.

  7. Cliquez sur Associer.

gcloud

gcloud compute firewall-policies associations create \
    --security-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Renseignez les champs suivants :

  • POLICY_NAME : le nom court ou le nom généré par le système de la stratégie
  • ORG_ID : ID de votre organisation.
  • FOLDER_ID : si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.
  • ASSOCIATION_NAME : nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisation ORG_ID" ou "dossier FOLDER_ID".
  • --replace-association-on-target
    Par défaut, si vous essayez d'insérer une association à un nœud d'organisation ou de dossier déjà associé, la méthode échoue. Si vous spécifiez cette option, l'association existante est supprimée au moment où la nouvelle association est créée. Cela permet d'éviter que le nœud se retrouve sans stratégie pendant la transition.

Déplacer une stratégie d'un nœud à un autre

Le déplacement d'une stratégie a pour effet de modifier le nœud propriétaire de la stratégie. Pour déplacer une stratégie, vous devez disposer des autorisations move sur l'ancien et le nouveau nœud.

Le déplacement d'une stratégie n'a aucune incidence sur les associations de stratégies existantes ou sur l'évaluation des règles existantes, mais il peut affecter les utilisateurs autorisés à modifier ou à associer la stratégie après le déplacement.

Console

Utilisez l'outil de ligne de commande gcloud pour cette procédure.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Renseignez les champs suivants :

  • POLICY_NAME : nom court ou nom généré par le système de la stratégie que vous déplacez.
  • ORG_ID : ID de votre organisation. Spécifiez cet ID seulement si vous déplacez la stratégie vers le nœud de l'organisation (ne spécifiez pas de dossier).
  • FOLDER_ID : si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie au nœud de l'organisation.

Mettre à jour la description d'une stratégie

Seul le champ Description peut être mis à jour pour la stratégie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur Modifier.

  4. Modifiez la description.

  5. Cliquez sur Enregistrer.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Répertorier les stratégies

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

    La section Stratégies de pare-feu associées à ce nœud ou dont ce nœud a hérité affiche les stratégies associées à ce nœud dans votre hiérarchie de ressources.

    La section Stratégies de pare-feu situées dans ce nœud répertorie les stratégies appartenant à ce nœud dans la hiérarchie des ressources. Il se peut que ces stratégies ne soient pas associées à ce nœud, mais elles peuvent être associées à ce nœud ou à d'autres nœuds.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Décrire une stratégie

Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu. De plus, de nombreux attributs figurent dans toutes les règles de la stratégie. Ces attributs sont comptabilisés dans une limite définie par stratégie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Supprimer une stratégie

Vous devez supprimer toutes les associations d'une stratégie de pare-feu d'organisation avant de pouvoir la supprimer.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie que vous souhaitez supprimer.

  4. Cliquez sur l'onglet Associée à.

  5. Sélectionnez toutes les associations.

  6. Cliquez sur Supprimer.

  7. Une fois toutes les associations supprimées, cliquez sur Supprimer.

gcloud

  1. Répertoriez tous les nœuds associés à une stratégie de pare-feu :

    gcloud compute firewall-policies describe
        --security-policy POLICY_NAME \
        --organization ORG_ID
    
  2. Supprimez les associations individuelles. Pour supprimer l'association, vous devez disposer du rôle compute.orgSecurityResourceAdmin sur le nœud associé ou l'ancêtre de ce nœud.

    gcloud compute firewall-policies associations delete NODE_NAME \
        --organization ORG_ID \
        --security-policy POLICY_NAME
    
  3. Supprimez la stratégie :

    gcloud compute firewall-policies delete POLICY_NAME \
        --organization ORG_ID
    

Répertorier les associations pour un nœud

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Les stratégies associées et héritées sont répertoriées sous Stratégies de pare-feu associées à ce nœud ou dont ce nœud a hérité.

gcloud

gcloud compute firewall-policies associations list \
  [--organization ORG_ID | --folder FOLDER_ID]

Répertorier des associations pour une stratégie

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associations.

  5. Les associations sont répertoriées dans le tableau.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Supprimer une association

Pour arrêter l'application d'une stratégie de pare-feu sur l'organisation ou un dossier, supprimez l'association.

Toutefois, si vous souhaitez remplacer une stratégie de pare-feu par une autre, il n'est pas nécessaire de supprimer d'abord l'association existante, car il y aurait alors une période pendant laquelle aucune stratégie n'est appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associations.

  5. Sélectionnez l'association que vous souhaitez supprimer.

  6. Cliquez sur Supprimer.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --security-policy POLICY_NAME \
    --organization ORG_ID

Tâches liées aux règles

Créer une règle dans une stratégie de pare-feu existante

Consultez la section Créer des règles de pare-feu.

Répertorier toutes les règles d'une stratégie

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie. Les règles sont répertoriées dans l'onglet Règles de pare-feu.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Décrire une règle

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur la priorité de la règle.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --security-policy POLICY_NAME

Renseignez les champs suivants :

  • PRIORITY : priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.
  • ORG_ID : ID de votre organisation.
  • POLICY_NAME: le nom court ou le nom généré par le système de la stratégie contenant la règle

Mettre à jour une règle

Pour obtenir une description des champs, consultez la page Créer des règles de pare-feu.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur la priorité de la règle.

  5. Cliquez sur Modifier.

  6. Modifiez les champs comme souhaité.

  7. Cliquez sur Enregistrer.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --security-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Cloner des règles d'une stratégie à une autre

Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie dont vous souhaitez copier les règles.

  4. Cliquez sur Cloner en haut de l'écran.

  5. Indiquez le nom d'une stratégie cible.

  6. Cliquez sur Continuer > Associer si vous souhaitez associer la nouvelle stratégie immédiatement.

  7. Cliquez sur Cloner.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-security-policy SOURCE_POLICY

Renseignez les champs suivants :

  • POLICY_NAME : stratégie destinée à recevoir les règles copiées.
  • ORG_ID : ID de votre organisation.
  • SOURCE_POLICY : stratégie à partir de laquelle les règles seront copiées (doit être l'URL de la ressource).

Supprimer une règle d'une stratégie

Le fait de supprimer une règle d'une stratégie entraîne la suppression de cette règle de toutes les VM qui héritent de la règle.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Sélectionnez la règle que vous souhaitez supprimer.

  5. Cliquez sur Supprimer.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --security-policy POLICY_NAME

Renseignez les champs suivants :

  • PRIORITY : priorité de la règle que vous souhaitez supprimer de la stratégie.
  • ORG_ID : ID de votre organisation.
  • POLICY_NAME : stratégie qui contient la règle.

Obtenir des règles de pare-feu efficaces pour un réseau

Cela permet d'afficher toutes les règles des stratégies de pare-feu hiérarchiques et les règles de pare-feu VPC appliquées à un réseau VPC spécifié.

Console

Utilisez l'outil de ligne de commande gcloud pour cette procédure.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Renseignez les champs suivants :

  • NETWORK_NAME : réseau pour lequel vous souhaitez obtenir des règles efficaces.

Obtenir des règles de pare-feu efficaces pour une interface de VM

Cela permet d'afficher toutes les règles des stratégies de pare-feu hiérarchiques et les règles de pare-feu VPC appliquées à une interface de VM Compute Engine spécifiée.

Console

  1. Dans Google Cloud Console, accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la VM.

  3. Cliquez sur la VM.

  4. Sous Interfaces réseau, cliquez sur l'interface.

  5. Les règles de pare-feu efficaces apparaissent sous Détails des pare-feu et des routes.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE \
    [--zone ZONE]

Renseignez les champs suivants :

  • INSTANCE_NAME : VM pour laquelle vous souhaitez obtenir des règles efficaces. Si aucune interface n'est spécifiée, les règles correspondant à l'interface principale s'affichent (nic0).
  • INTERFACE : interface de VM pour laquelle vous souhaitez obtenir des règles efficaces. La valeur par défaut est nic0.
  • ZONE : zone de la VM. Cette option est facultative si la zone souhaitée est déjà définie comme valeur par défaut.

Dépannage

Cette section contient des explications sur les messages d'erreur que vous pouvez rencontrer.

FirewallPolicy peut ne pas spécifier de nom. Nous vous en fournirons un.

Vous ne pouvez pas spécifier de nom de stratégie. Les "noms" de stratégies de pare-feu hiérarchique sont des ID numériques générés par Google Cloud lors de la création de la stratégie. Toutefois, vous pouvez spécifier un nom court plus convivial, qui agit comme un alias dans de nombreux contextes.

FirewallPolicy ne peut pas spécifier d'associations lors de la création.

Les associations ne peuvent être créées qu'après la création des stratégies de pare-feu hiérarchiques.

Impossible de déplacer la stratégie de pare-feu vers une autre organisation.

Les déplacements de stratégies de pare-feu hiérarchiques doivent rester au sein de la même organisation.

Le rattachement est déjà associé à une association. Veuillez définir l'option de remplacement de l'association existante par "true" si vous souhaitez remplacer l'ancienne.

Si un nœud est déjà associé à une stratégie de pare-feu hiérarchique, l'opération de rattachement échoue sauf si l'option de remplacement des associations existantes est définie sur "true".

Ne peut pas avoir des règles ayant les mêmes priorités.

Les priorités des règles doivent être uniques au sein d'une stratégie de pare-feu hiérarchique.

La direction doit être spécifiée sur la règle des stratégies de pare-feu.

Lorsque vous créez des règles des stratégies de pare-feu hiérarchiques en envoyant directement des requêtes REST, vous devez spécifier la direction de la règle. Lorsque vous utilisez l'outil de ligne de commande gcloud et qu'aucune direction n'est spécifiée, la valeur par défaut est INGRESS.

Impossible de spécifier enable_logging pour une règle goto_next.

La journalisation du pare-feu n'est pas autorisée pour les règles ayant une action goto_next, car les actions goto_next sont utilisées pour représenter l'ordre d'évaluation des différentes stratégies de pare-feu. Elles ne sont pas des actions de terminal telles que ALLOW ou DENY.

Le protocole IP doit être spécifié dans la règle des stratégies de pare-feu.

La configuration de DestinationPort dans la règle des stratégies de pare-feu doit définir le champ de protocole, tel que TCP, UDP et ICMP.

Les adresses IPv6 ne sont pas acceptées pour les règles de pare-feu.

Seules les adresses IPv4 sont acceptées pour les règles de pare-feu de l'organisation.

Ne doit pas spécifier de plage "src" pour la direction de sortie.

Les règles de sortie ne peuvent contenir que des plages d'adresses IP de destination.

Il faut spécifier la plage de destination pour la direction de sortie.

Les règles de sortie doivent spécifier une plage d'adresses IP de destination.

Ne doit pas spécifier la plage de destination de la direction d'entrée.

Les règles d'entrée ne peuvent contenir que des plages d'adresses IP sources.

Doit spécifier la plage source pour la direction d'entrée.

Les règles d'entrée doivent spécifier une plage d'adresses IP source. Le tag source et le compte de service source ne sont pas compatibles avec les stratégies de pare-feu hiérarchiques.

Pour en savoir plus sur la résolution des problèmes liés aux règles des stratégies de pare-feu, consultez la section Dépannage des règles de pare-feu VPC.

Étape suivante