העברת כללי חומת אש של VPC שלא נעשה בהם שימוש בתגי רשת ובחשבונות שירות

אם כללי חומת האש של הענן הווירטואלי הפרטי (VPC) לא משתמשים בתגי רשת או בחשבונות שירות, צריך לבצע את המשימות הבאות כדי להעביר את כללי חומת האש של ה-VPC למדיניות גלובלית של חומת אש ברשת:

  1. הערכת הסביבה.
  2. העברת הכללים של חומת האש ב-VPC.
  3. לעיון במדיניות חומת האש החדשה של הרשת הגלובלית
  4. משלימים את המשימות שאחרי ההעברה.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. התקינו את ה-CLI של Google Cloud.

  6. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  7. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. התקינו את ה-CLI של Google Cloud.

  12. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  13. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init
  14. מוודאים שיש לכם את התפקיד 'אדמין אבטחה של Compute' (roles/compute.securityAdmin).

הערכת הסביבה

  1. מזהים את מספר הכללים הקיימים של חומת האש ב-VPC ברשת.
  2. חשוב לרשום את העדיפויות שמשויכות לכל כלל של חומת אש ב-VPC.
  3. חשוב לוודא שיש לכם את התפקידים וההרשאות הנדרשים ב-IAM כדי ליצור, לשייך, לשנות ולצפות במדיניות גלובלית של חומת אש ברשת.

העברת הכללים של חומת האש ב-VPC

אחרי שמבצעים הערכה של הסביבה, מעבירים את הכללים של חומת האש ב-VPC למדיניות גלובלית של חומת אש ברשת באמצעות הפקודה compute firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • NETWORK_NAME: השם של רשת ה-VPC שמכילה את כללי חומת האש של ה-VPC שרוצים להעביר.
  • POLICY_NAME: השם של מדיניות חומת האש בין רשתות גלובלית שתיצור במהלך ההעברה.

החרגה של כללים לחומת האש מההעברה

כדי להחריג כללים ספציפיים של חומת האש מההעברה, משתמשים בפקודה gcloud beta compute firewall-rules migrate עם הדגל --exclusion-patterns-file:

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

מחליפים את מה שכתוב בשדות הבאים:

  • NETWORK_NAME: השם של רשת ה-VPC שמכילה את כללי חומת האש של ה-VPC שרוצים להעביר.
  • POLICY_NAME: השם של מדיניות חומת האש הגלובלית ברשת שרוצים ליצור במהלך ההעברה.

  • EXCLUSION_PATTERNS_FILE: השם של הקובץ שמכיל ביטויים רגולריים שמגדירים תבניות של שמות חומות אש ב-VPC שצריך להחריג מההעברה. חשוב לציין את הנתיב המלא של הקובץ. כללי חומת אש שתואמים לתבניות שצוינו ייפסחו.

    כשמגדירים את דפוסי ההחרגה, חשוב לשים לב לדברים הבאים:

    • כל ביטוי רגולרי צריך להיות בשורה נפרדת ולייצג תבנית אחת של שמות חומות אש.
    • הביטויים הרגולריים לא מכילים רווחים לבנים בתחילתם או בסופם.

הצגת כללים מוחרגים של חומת האש

בהתאם לדפוסי השמות של כללי חומת האש שהוחרגו, כלי ההעברה לא מעביר כללי חומת אש מסוימים, כמו כללי חומת אש של Google Kubernetes Engine ‏ (GKE). כדי לייצא את רשימת דפוסי השמות של כללי חומת האש שהוחרגו, משתמשים בפקודה gcloud beta compute firewall-rules migrate עם הדגלים --export-exclusion-patterns ו---exclusion-patterns-file.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

מחליפים את מה שכתוב בשדות הבאים:

  • NETWORK_NAME: השם של רשת ה-VPC שמכילה את כללי חומת האש של ה-VPC שרוצים להעביר.
  • POLICY_NAME: השם של מדיניות חומת האש הגלובלית ברשת שרוצים ליצור במהלך ההעברה.

  • EXCLUSION_PATTERNS_FILE: הנתיב של הקובץ שאליו מיוצאים דפוסי השמות הבאים של כללי חומת האש שלא נכללים.

    gke-(.+)-ipv6-all
gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
k8s-fw-(l7-)?(.+)
k8s-(.+)-((node)|(http)|(node-http))-hc
(.+)-hc
k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
k8s2-(.+)-l4-shared-hc-fw
gke((gw)|(mcg))1-l7-(.+)-(.+)

כדי להעביר כללי חומת אש מוחרגים שתואמים לתבנית ספציפית, מסירים את התבנית מהרשימה המיוצאת ומריצים את הפקודה gcloud beta compute firewall-rules migrate עם הדגל --exclusion-patterns-file.

העברה בכפייה תוך שמירה על סדר ההערכה

במהלך ההעברה, אם סדר ההערכה של כלל חומת אש שהוחרג נופל בין סדרי ההערכה של כללי חומת אש שהוגדרו על ידי המשתמש, ההעברה תיכשל.זה קורה כי כללי חומת האש שהוחרגו לא מועברים, וכלי ההעברה לא יכול לשמור על סדר ההערכה המקורי של כללים שהוגדרו על ידי המשתמש במדיניות חומת האש החדשה ברשת.

לדוגמה, אם לכללי חומת האש שלכם יש את העדיפויות הבאות, ההעברה תיכשל.

  • כלל שצוין על ידי המשתמש עם עדיפות 100
  • כלל מוחרג עם עדיפות 200
  • כלל שצוין על ידי המשתמש עם עדיפות 300

כדי להשתמש בכלי ההעברה כדי להעביר את הכללים שצוינו על ידי המשתמש תוך שמירה על סדר ההערכה המקורי שלהם והתעלמות מכללי חומת האש שהוחרגו, משתמשים בפקודה gcloud beta compute firewall-rules migrate עם הדגל --force.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

מחליפים את מה שכתוב בשדות הבאים:

  • NETWORK_NAME: השם של רשת ה-VPC שמכילה את כללי חומת האש של ה-VPC שרוצים להעביר.
  • POLICY_NAME: השם של מדיניות חומת האש הגלובלית ברשת שרוצים ליצור במהלך ההעברה.

בדיקת מדיניות חומת האש החדשה בין רשתות גלובליות

לפני שמצרפים את מדיניות חומת האש החדשה ברשת הגלובלית לרשת VPC, מומלץ לבדוק את המדיניות כדי לוודא שתהליך ההעברה הושלם בצורה מדויקת.

צריך לוודא שההגדרות של כללי מדיניות חומת האש תקינות, ולבדוק אם רכיבי הכללים הבאים הועברו בצורה תקינה לכל כלל:

  • עדיפות יחסית
  • כיוון התנועה
  • פעולה במקרה של התאמה
  • הגדרות היומן
  • פרמטרים של יעד
  • פרמטרים של מקור (לכללים של תעבורת נתונים נכנסת)
  • פרמטרים של יעד (לכללי תעבורת נתונים יוצאת)
  • הגבלות על פרוטוקולים ועל יציאות

מידע נוסף על הרכיבים של כלל במדיניות חומת האש זמין במאמר רכיבים של כלל במדיניות חומת האש.

משימות אחרי ההעברה

כדי להפעיל את מדיניות חומת האש ברשת הגלובלית ולהשתמש בה, צריך לבצע את המשימות שאחרי ההעברה שמפורטות בקטעים הבאים.

שיוך מדיניות חומת האש בין רשתות גלובלית לרשת

כלי ההעברה יוצר את מדיניות חומת האש הגלובלית ברשת על סמך כללי חומת האש הקיימים ב-VPC. כדי להפעיל את כללי המדיניות עבור מכונות וירטואליות ברשת, צריך לשייך את המדיניות באופן ידני לרשת ה-VPC הנדרשת. כדי לשייך את מדיניות חומת האש בין רשתות גלובלית, משתמשים בפקודה compute network-firewall-policies associations create.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם של מדיניות הרשת הגלובלית שרוצים לשייך לרשת ה-VPC.
  • NETWORK_NAME: השם של רשת ה-VPC

מידע נוסף על שיוך מדיניות חומת אש בין רשתות גלובלית לרשת VPC

שינוי סדר ההערכה של המדיניות והכללים

כברירת מחדל, Cloud Next Generation Firewall בודק את כללי חומת האש של ה-VPC לפני שהוא בודק מדיניות גלובלית של חומת אש ברשת. כדי לוודא שכללי מדיניות גלובליים של חומת אש ברשת מקבלים עדיפות על פני כללי חומת אש של VPC, משתמשים בפקודה compute networks update כדי לשנות את סדר הערכת הכללים.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

מחליפים את NETWORK_NAME בשם של רשת ה-VPC.

כדי לבדוק אם מדיניות חומת האש הגלובלית נבדקת לפני כללי חומת האש של ה-VPC, משתמשים בפקודה compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME

בפלט של הפקודה הקודמת, אם TYPE: network-firewall-policy מוצג לפני TYPE: network-firewall, אז מדיניות חומת האש הגלובלית ברשת מוערכת קודם.

מידע נוסף על השינוי בסדר ההערכה של המדיניות והכללים זמין במאמר שינוי סדר ההערכה של המדיניות והכללים.

הפעלת רישום ביומן של כללי חומת האש

רישום ביומן עוזר לכם לקבוע אם כלל חומת האש פועל כמצופה. כלי ההעברה שומר את סטטוס הרישום ביומן של הכללים הקיימים לחומת האש של ה-VPC כשהוא יוצר את מדיניות חומת האש החדשה בין רשתות גלובליות. מוודאים שהרישום ביומן מופעל עבור הכללים במדיניות חומת האש בין רשתות גלובלית. כדי להפעיל רישום ביומן של כללים במדיניות חומת האש, משתמשים בפקודה compute network-firewall-policies rules update.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

מחליפים את מה שכתוב בשדות הבאים:

  • PRIORITY: העדיפות של הכלל שרוצים לעדכן.
  • POLICY_NAME: השם של מדיניות חומת האש הגלובלית ברשת שאתם רוצים לעדכן את הכלל שלה.

בדיקה של מדיניות חומת אש בין רשתות גלובלית

לפני שמוחקים את כללי חומת האש ב-VPC, כדאי לבדוק את מדיניות חומת האש ברשת הגלובלית כדי לוודא שכללי המדיניות פועלים בהתאם לציפיות שלכם לגבי כל תנועה שתואמת לכללים.

צריך לבצע את הפעולות הבאות:

  1. מוודאים שהפעלתם את הרישום ביומן בכללי חומת האש של VPC ובמדיניות חומת האש בין רשתות גלובלית.
  2. משנים את סדר הבדיקה של הכללים, כך שמדיניות חומת האש של הרשת הגלובלית תיבדק לפני הכללים של חומת האש ב-VPC.
  3. מעקב אחרי היומנים כדי לוודא שמדיניות חומת האש ברשת הגלובלית כוללת ספירת פגיעות ושהכללים של חומת האש ב-VPC מוצללים.

מחיקת הכללים של חומת האש ב-VPC מהרשת

‫Google ממליצה להשבית קודם את כללי חומת האש של VPC לפני שמוחקים אותם לגמרי. תוכלו לחזור לכללים האלה אם מדיניות חומת האש הגלובלית ברשת שנוצרה על ידי כלי ההעברה לא מספקת את התוצאות הרצויות.

כדי להשבית כלל חומת אש ב-VPC, משתמשים בפקודה compute firewall-rules update.

gcloud compute firewall-rules update RULE_NAME --disabled

מחליפים את RULE_NAME בשם של כלל חומת האש של ה-VPC שרוצים להשבית.

כדי למחוק כלל של חומת אש ב-VPC, משתמשים בפקודה compute firewall-rules delete.

gcloud compute firewall-rules delete RULE_NAME

המאמרים הבאים