ניהול מדיניות חומת אש בין רשתות גלובליות

כדי לשלוט בתעבורת הרשת בסביבה שלכם, צריך לנהל את כללי המדיניות של חומת האש ברשת הגלובלית ואת הכללים שלה. Google Cloud בדף הזה מוסבר איך לפרט כללי מדיניות ואת הכללים הבודדים שלהם, ואיך לעדכן אותם. במאמר הזה נסביר איך לשכפל כללים בין פוליסות ואיך לנהל את השיוכים של הפוליסות לרשתות של הענן הווירטואלי הפרטי (VPC).

לפני שקוראים את הדף הזה, חשוב להכיר את המושגים שמתוארים בסקירה הכללית על מדיניות חומת האש ברשת הגלובלית.

משימות שקשורות למדיניות חומת האש

בקטע הזה מוסבר איך לנהל מדיניות גלובלית של חומת אש ברשת.

תיאור של מדיניות חומת אש בין רשתות גלובליות

אפשר לראות פרטים על מדיניות חומת אש בין רשתות גלובלית, כולל כללי המדיניות ומאפייני הכללים המשויכים. כל מאפייני הכללים האלה נספרים כחלק ממכסת מאפייני הכללים. מידע נוסף זמין בקטע 'מאפייני כללים לפי מדיניות גלובלית של חומת אש ברשת' בטבלה לפי מדיניות חומת אש.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את מדיניות חומת האש הגלובלית ברשת.

  3. לוחצים על המדיניות הרלוונטית.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

עדכון תיאור של מדיניות חומת אש בין רשתות גלובלית

השדה היחיד במדיניות שאפשר לעדכן הוא השדה Description.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את מדיניות חומת האש הגלובלית ברשת.

  3. לוחצים על המדיניות הרלוונטית.

  4. לוחצים על Edit.

  5. בשדה Description, משנים את הטקסט.

  6. לוחצים על Save.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

הצגת רשימה של כללי מדיניות גלובליים של חומת אש בין רשתות

תוכלו לראות רשימה של המדיניות שזמינה בפרויקט.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.

    בקטע Network firewall policies (מדיניות חומת אש בין רשתות) מוצגת המדיניות שזמינה בפרויקט.

gcloud 

gcloud compute network-firewall-policies list --global

הסרת השיוך לרשת

אם אתם צריכים לשנות את מדיניות חומת האש הגלובלית ברשת שמשויכת לרשת VPC, מומלץ קודם לשייך מדיניות חדשה במקום למחוק מדיניות משויכת קיימת. אפשר לשייך מדיניות חדשה בשלב אחד, וכך לוודא שמדיניות חומת אש גלובלית תמיד משויכת לרשת ה-VPC.

כדי למחוק שיוך בין מדיניות חומת אש בין רשתות גלובליות לבין רשת VPC, פועלים לפי השלבים שמפורטים בקטע הזה. הכללים במדיניות הגלובלית של חומת האש בין רשתות לא חלים על חיבורים חדשים אחרי שהשיוך שלה נמחק.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט או את התיקייה שמכילים את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

  4. לוחצים על הכרטיסייה שיוכים.

  5. בוחרים את הקישור שרוצים למחוק.

  6. לוחצים על הסרת השיוך.

gcloud 

gcloud compute network-firewall-policies associations delete \
    --firewall-policy FIREWALL_POLICY \
    --name ASSOCIATION_NAME \
    --firewall-policy-region FIREWALL_POLICY_REGION \
    --global-firewall-policy

מחיקה של מדיניות חומת אש בין רשתות גלובלית

כדי למחוק מדיניות גלובלית של חומת אש ברשת, צריך למחוק את כל השיוכים שלה.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.

  3. לוחצים על המדיניות שרוצים למחוק.

  4. לוחצים על הכרטיסייה שיוכים.

  5. בוחרים את כל השיוכים.

  6. לוחצים על הסרת השיוך.

  7. אחרי שמסירים את כל השיוכים, לוחצים על מחיקה.

gcloud

כדי למחוק את המדיניות, מריצים את הפקודה הבאה:

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

משימות של כללי מדיניות חומת אש

בקטע הזה מוסבר איך לנהל כללים של מדיניות חומת אש ברשת גלובלית.

שיבוט כללים ממדיניות אחת למדיניות אחרת

שיבוט מעתיק את הכללים ממדיניות מקור למדיניות יעד, ומחליף את כל הכללים הקיימים במדיניות היעד.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.

  3. לוחצים על המדיניות שממנה רוצים להעתיק את הכללים.

  4. לוחצים על שיבוט בחלק העליון של המסך.

  5. מזינים את השם של מדיניות היעד.

  6. אם רוצים לשייך את המדיניות החדשה באופן מיידי, לוחצים על המשך > שיוך.

  7. בדף Associate policy with VPC networks, בוחרים את הרשתות ולוחצים על Associate.

  8. לוחצים על Continue.

  9. לוחצים על Clone (שיבוט).

gcloud 

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --global \
    --source-firewall-policy SOURCE_POLICY

מחליפים את מה שכתוב בשדות הבאים:

  • TARGET_POLICY: השם של מדיניות היעד.
  • SOURCE_POLICY: כתובת ה-URL של מדיניות המקור.

תיאור כלל

אפשר לראות פרטים על כלל ספציפי במדיניות גלובלית של חומת אש ברשת.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

  4. לוחצים על העדיפות של הכלל.

gcloud 

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

מחליפים את מה שכתוב בשדות הבאים:

  • PRIORITY: מספר העדיפות שמזהה באופן ייחודי את הכלל.
  • POLICY_NAME: שם המדיניות שמכילה את הכלל.

עדכון של כלל במדיניות חומת אש בין רשתות גלובלית

אפשר לשנות כלל במדיניות חומת אש בין רשתות גלובלית כדי לשנות מאפיינים של הכלל, כמו פעולה בהתאמה, טווחי כתובות IP או פרוטוקולים ויציאות.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את מדיניות חומת האש הגלובלית ברשת.

  3. לוחצים על השם של מדיניות חומת האש בין רשתות גלובלית שמכילה את הכלל שרוצים לעדכן.

  4. לוחצים על העדיפות של הכלל.

  5. לוחצים על Edit.

  6. משנים את השדות של כלל חומת האש שרוצים לשנות. לתיאורים של כל שדה, אפשר לעיין באחד מהמאמרים הבאים:

  7. לוחצים על Save.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy \
    [...other flags that you want to modify...]

מחליפים את מה שכתוב בשדות הבאים:

  • PRIORITY: מספר העדיפות שמזהה באופן ייחודי את הכלל.
  • POLICY_NAME: השם של המדיניות שמכילה את הכלל.

מציינים את הדגלים שרוצים לשנות. תיאורים של הדגלים זמינים במאמרים הבאים:

צפייה בכללים של חומת האש שחלים על ממשק של מכונה וירטואלית

אפשר לראות את כל כללי חומת האש – מכל מדיניות חומת האש הרלוונטית ומכללי חומת האש של VPC – שחלים על ממשק רשת של מכונה וירטואלית ב-Compute Engine.

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המכונה הווירטואלית.

  3. לוחצים על המכונה הווירטואלית.

  4. בקטע Network interfaces, לוחצים על שם הממשק.

  5. בקטע ניתוח הגדרות הרשת, לוחצים על הכרטיסייה Firewalls (חומות אש).

  6. כדי לראות את כללי חומת האש בפועל, לוחצים על הכרטיסייה Firewall rule view.

gcloud 

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_NAME: המכונה הווירטואלית שרוצים להציג את הכללים האפקטיביים שלה. אם לא מציינים ממשק, הפקודה מחזירה כללים לממשק הראשי (nic0).
  • INTERFACE: הממשק של המכונה הווירטואלית שרוצים לראות את הכללים האפקטיביים שלו. ערך ברירת המחדל הוא nic0.
  • ZONE: האזור של המכונה הווירטואלית. השורה הזו אופציונלית אם האזור שנבחר כבר מוגדר כברירת מחדל.

הצגת כללים אפקטיביים של חומת אש לרשת

אתם יכולים לראות את כל הכללים של מדיניות חומת האש ההיררכית, את הכללים של חומת האש של ה-VPC ואת הכללים של מדיניות חומת האש בין רשתות גלובליות שחלים על כל האזורים של רשת ה-VPC.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על הרשת שרוצים לראות את כללי מדיניות חומת האש שלה.

  3. בדף פרטי רשת VPC, לוחצים על הכרטיסייה Firewalls.

  4. כדי לראות את כללי חומת האש שחלים על הרשת הזו, לוחצים על הכרטיסייה Firewall rule view.

gcloud 

gcloud compute networks get-effective-firewalls NETWORK_NAME

מחליפים את NETWORK_NAME ברשת שרוצים לראות את הכללים שחלים עליה.

אפשר גם לראות את הכללים האפקטיביים של חומת האש ברשת בדף חומת אש.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. מדיניות חומת האש מפורטת בקטע Firewall policies inherited by this project (מדיניות חומת האש שהפרויקט הזה ירש).

  3. לוחצים על כל מדיניות חומת אש כדי לראות את הכללים שחלים על הרשת הזו.

מחיקת כלל ממדיניות

אם מוחקים כלל ממדיניות, הכלל לא יחול יותר על חיבורים חדשים אל היעד של הכלל או ממנו.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.

  3. לוחצים על המדיניות הרלוונטית.

  4. בוחרים את הכלל שרוצים למחוק.

  5. לוחצים על Delete.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --global-firewall-policy

מחליפים את מה שכתוב בשדות הבאים:

  • PRIORITY: מספר העדיפות שמזהה באופן ייחודי את הכלל.
  • POLICY_NAME: שם המדיניות שמכילה את הכלל.

המאמרים הבאים