סקירה כללית

אפשר להשתמש בבקשה אחת מ-Google Cloud CLI או מ-Compute Engine API כדי לעדכן את כל הכללים במדיניות חומת האש של הרשת ובמדיניות חומת האש ההיררכית. כך אפשר לוודא שהתקינות של קבוצת הכללים במדיניות חומת האש נשמרת. באמצעות עדכונים באצווה, Cloud Next Generation Firewall מספק דרך יעילה ונוחה לניהול עדכונים של כללי מדיניות חומת האש בסביבות הענן.

למידע נוסף על הגדרת חבילת עדכונים, ראה הגדרת חבילת עדכונים לכללים של מדיניות חומת האש.

הרשאות

כדי לעדכן את הכללים של מדיניות חומת האש, צריך לוודא שיש לכם את ההרשאות הבאות.

  • ההרשאה compute.firewallPolicies.get לייצא את כללי מדיניות חומת האש ההיררכית.
  • ההרשאה compute.firewallPolicies.update לייבא את כללי מדיניות חומת האש ההיררכית.
  • ההרשאה compute.firewallPolicies.get לייצא את כללי מדיניות חומת האש של הרשת.
  • ההרשאה compute.regionFirewallPolicies.get לייצא כללי מדיניות חומת אש אזוריים ברשת.
  • ההרשאה compute.firewallPolicies.update לייבא את כללי מדיניות חומת האש של הרשת.
  • ההרשאה compute.regionFirewallPolicies.update לייבא את כללי מדיניות חומת האש ברשת האזורית.

מידע נוסף על התפקידים וההרשאות זמין במאמר תפקידים ב-Compute Engine.

מפרט

חבילת עדכונים של כללי מדיניות חומת אש כוללת את המפרטים הבאים:

  • תהליך העדכון הוא אטומי. כלומר, אם מתרחשת שגיאה בזמן ייבוא הכללים, כל השינויים מבוטלים ומדיניות חומת האש נשארת במצב הקודם שלה.

  • כשמשתמשים בממשקי ה-API בארכיטקטורת REST כדי לעדכן כללים במדיניות חומת האש, ממשקי ה-API בארכיטקטורת REST דורשים טביעת אצבע לצורך נעילה אופטימית. מידע נוסף זמין במאמר בנושא בקרת מקביליות אופטימית. כדי לקבל את טביעת האצבע העדכנית, מומלץ קודם לשלוח בקשה למדיניות חומת האש.get בקשה של get למדיניות חומת האש מקבלת את הגרסה העדכנית ביותר של המדיניות, וכך אפשר לוודא שהעדכונים מבוססים על הגרסה העדכנית ביותר של המדיניות. כך אפשר למנוע התנגשויות אם מתבצעים שינויים בו-זמנית במדיניות.

  • כשמשתמשים בשיטת patch של API בארכיטקטורת REST, אפשר להחליף את כל הכללים הקיימים על ידי שליחת רשימה חדשה לגמרי בבקשה.

  • אם מתבצעת פעולה במדיניות חומת אש patch, אי אפשר לשנות כללים באמצעות שיטות כמו addRule,‏ patchRule,‏ removeRule או cloneRules. כך אפשר לוודא שלא יבוצעו שינויים סותרים במהלך פעולת התיקון.

הגדרת חבילת עדכונים

תהליך העדכון של קבוצת משתמשים כולל שלושה שלבים עיקריים:

  1. ייצוא: ייצוא הכללים הנוכחיים במדיניות חומת האש.
  2. שינוי: מבצעים את העדכונים הנדרשים של כללי מדיניות חומת האש שיוצאו.
  3. ייבוא: מייבאים את הקובץ ששוּנה בחזרה לכללים של מדיניות חומת האש.

כדי להגדיר את חבילת העדכונים של כללי מדיניות חומת האש:

  1. מייצאים את הכללים של מדיניות חומת האש. מידע נוסף זמין במאמר בנושא ייצוא כלל במדיניות של חומת אש.

  2. משנים את הקובץ המיוצא. כדי לעדכן את הקובץ, אפשר לפעול לפי השלבים הבאים:

    • הוספת כללים חדשים: צריך לוודא שכל כלל חדש תואם לסכימה של FirewallPolicyRule.yaml.

    • שינוי כללים קיימים: משנים את המאפיינים של הכללים שרוצים לעדכן. המאפיינים האלה כוללים את הפעולה, התיאור ותנאי ההתאמה שלפיהם מוערכת התנועה הנכנסת.

    • מחיקת כללים: מסירים את הערכים של כללי מדיניות חומת האש שרוצים למחוק.

    מידע נוסף על שינוי כללים במדיניות חומת האש

  3. מייבאים את הכללים בחזרה למדיניות חומת האש. מידע נוסף על ייבוא כללים של מדיניות חומת האש

המאמרים הבאים