Esegui la migrazione delle regole firewall VPC che non utilizzano tag di rete e account di servizio

Se le regole firewall di Virtual Private Cloud (VPC) non utilizzano tag di rete o account di servizio, esegui le seguenti attività per eseguire la migrazione delle regole firewall VPC a una policy del firewall di rete globale:

  1. Valuta il tuo ambiente.
  2. Esegui la migrazione delle regole firewall VPC.
  3. Esamina la nuova policy del firewall di rete globale.
  4. Completa le attività di post-migrazione.

Prima di iniziare

  1. Accedi al tuo Google Cloud account. Se non hai mai utilizzato Google Cloud, crea un account per valutare il rendimento dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Installa Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Installa Google Cloud CLI.

  12. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  13. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init
  14. Assicurati di avere il ruolo Compute Security Admin (roles/compute.securityAdmin).

Valuta il tuo ambiente

  1. Identifica il numero di regole firewall VPC esistenti nella tua rete.
  2. Prendi nota delle priorità associate a ogni regola firewall VPC.
  3. Assicurati di disporre dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) necessari per creare, associare, modificare e visualizzare le policy del firewall di rete globali.

Esegui la migrazione delle regole firewall VPC

Dopo aver valutato il tuo ambiente, esegui la migrazione delle regole firewall VPC a una policy del firewall di rete globale utilizzando il compute firewall-rules migrate comando.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.
  • POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.

Escludi le regole firewall dalla migrazione

Per escludere regole firewall specifiche dalla migrazione, utilizza il gcloud beta compute firewall-rules migrate comando con il --exclusion-patterns-file flag:

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.
  • POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.

  • EXCLUSION_PATTERNS_FILE: il nome del file contenente le espressioni regolari che definiscono i pattern di denominazione delle regole firewall VPC da escludere dalla migrazione. Assicurati di specificare il percorso completo del file. Le regole firewall che corrispondono ai pattern specificati vengono ignorate.

    Quando definisci i pattern di esclusione, tieni presente quanto segue:

    • Ogni espressione regolare deve essere su una riga separata e rappresentare un singolo pattern di denominazione del firewall.
    • Le espressioni regolari non contengono spazi vuoti iniziali o finali.

Visualizza le regole firewall escluse

In base ai pattern di denominazione delle regole firewall escluse, lo strumento di migrazione non esegue la migrazione di alcune regole firewall, ad esempio le regole firewall di Google Kubernetes Engine (GKE). Per esportare l'elenco dei pattern di denominazione delle regole firewall escluse, utilizza il comando gcloud beta compute firewall-rules migrate con i flag --export-exclusion-patterns e --exclusion-patterns-file.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.
  • POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.

  • EXCLUSION_PATTERNS_FILE: il percorso del file in cui vengono esportati i seguenti pattern di denominazione delle regole firewall escluse.

    gke-(.+)-ipv6-all
gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
k8s-fw-(l7-)?(.+)
k8s-(.+)-((node)|(http)|(node-http))-hc
(.+)-hc
k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
k8s2-(.+)-l4-shared-hc-fw
gke((gw)|(mcg))1-l7-(.+)-(.+)

Per eseguire la migrazione delle regole firewall escluse che corrispondono a un pattern specifico, rimuovi il pattern dall'elenco esportato ed esegui il comando gcloud beta compute firewall-rules migrate con il flag --exclusion-patterns-file.

Forza la migrazione mantenendo l'ordine di valutazione

Durante la migrazione, se l'ordine di valutazione di una regola firewall esclusa rientra tra gli ordini di valutazione delle regole firewall specificate dall'utente, la migrazione non riesce.Questo accade perché le regole firewall escluse non vengono migrate e lo strumento di migrazione non può mantenere l'ordine di valutazione originale delle regole definite dall'utente nella nuova policy del firewall di rete.

Ad esempio, se le regole firewall hanno le seguenti priorità, la migrazione non riesce.

  • Una regola specificata dall'utente con priorità 100
  • Una regola esclusa con priorità 200
  • Una regola specificata dall'utente con priorità 300

Per forzare lo strumento di migrazione a eseguire la migrazione delle regole specificate dall'utente mantenendo l'ordine di valutazione originale e ignorando le regole firewall escluse, utilizza il comando gcloud beta compute firewall-rules migrate con il flag --force.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

Sostituisci quanto segue:

  • NETWORK_NAME: il nome della rete VPC contenente le regole firewall VPC di cui vuoi eseguire la migrazione.
  • POLICY_NAME: il nome della policy del firewall di rete globale da creare durante la migrazione.

Esamina la nuova policy del firewall di rete globale

Prima di collegare la nuova policy del firewall di rete globale a una rete VPC, Google consiglia di esaminare la policy per assicurarsi che il processo di migrazione sia stato completato correttamente.

Verifica la configurazione delle regole delle policy del firewall e controlla se i seguenti componenti delle regole sono stati migrati correttamente per ogni regola:

  • Priorità relativa
  • Direzione del traffico
  • Azione in caso di corrispondenza
  • Impostazioni dei log
  • Parametri target
  • Parametri di origine (per le regole in entrata)
  • Parametri di destinazione (per le regole in uscita)
  • Vincoli di protocollo e porta

Per saperne di più sui componenti di una regola delle policy del firewall, consulta Componenti delle regole delle policy del firewall.

Attività di post-migrazione

Per attivare e utilizzare la policy del firewall di rete globale, devi completare le attività di post-migrazione descritte nelle sezioni seguenti.

Associa la policy del firewall di rete globale alla tua rete

Lo strumento di migrazione crea la policy del firewall di rete globale in base alle regole firewall VPC esistenti. Devi associare manualmente la policy alla rete VPC richiesta per attivare le regole delle policy per tutte le VM all'interno di quella rete. Per associare la policy del firewall di rete globale, utilizza il comando compute network-firewall-policies associations create.

gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

Sostituisci quanto segue:

  • POLICY_NAME: il nome della policy di rete globale che vuoi associare alla tua rete VPC.
  • NETWORK_NAME: il nome della tua rete VPC.

Per saperne di più sull'associazione di una policy del firewall di rete globale a una rete VPC, consulta Associare una policy alla rete.

Modifica l'ordine di valutazione delle policy e delle regole

Per impostazione predefinita, Cloud Next Generation Firewall valuta le regole firewall VPC prima di valutare una policy del firewall di rete globale. Per assicurarti che le policy del firewall di rete globali abbiano la precedenza sulle regole firewall VPC, utilizza il comando compute networks update per modificare l'ordine di valutazione delle regole.

gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

Sostituisci NETWORK_NAME con il nome della tua rete VPC.

Per verificare se la policy del firewall di rete globale viene valutata prima delle regole firewall VPC, utilizza il compute networks get-effective-firewalls comando.

gcloud compute networks get-effective-firewalls NETWORK_NAME

Nell'output del comando precedente, se TYPE: network-firewall-policy viene visualizzato prima di TYPE: network-firewall, la policy del firewall di rete globale viene valutata per prima.

Per saperne di più sulla modifica dell'ordine di valutazione delle policy e delle regole, consulta Modificare l'ordine di valutazione delle policy e delle regole.

Abilita la registrazione delle regole firewall

Il logging ti aiuta a determinare se una regola firewall funziona come previsto. Lo strumento di migrazione mantiene lo stato di registrazione delle regole firewall VPC esistenti quando crea la nuova policy del firewall di rete globale. Assicurati che la registrazione sia abilitata per le regole all'interno della policy del firewall di rete globale. Per abilitare il logging per le regole delle policy del firewall, utilizza il compute network-firewall-policies rules update comando.

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

Sostituisci quanto segue:

  • PRIORITY: la priorità della regola da aggiornare.
  • POLICY_NAME: il nome della policy del firewall di rete globale di cui vuoi aggiornare la regola.

Testa la policy del firewall di rete globale

Prima di eliminare le regole firewall VPC, testa la policy del firewall di rete globale per verificare se le regole delle policy funzionano in base alle tue aspettative per qualsiasi traffico che corrisponde alle regole.

Segui questi passaggi:

  1. Assicurati di aver abilitato la registrazione nelle regole firewall VPC e nella policy del firewall di rete globale.
  2. Modifica l'ordine di valutazione delle regole in modo che la policy del firewall di rete globale venga valutata prima delle regole firewall VPC.
  3. Monitora i log per verificare che la policy del firewall di rete globale abbia conteggi di hit e che le regole firewall VPC siano oscurate.

Elimina le regole firewall VPC dalla tua rete

Google consiglia di disattivare prima le regole firewall VPC prima di eliminarle completamente. Puoi ripristinare queste regole se la policy del firewall di rete globale creata dallo strumento di migrazione non fornisce i risultati previsti.

Per disattivare una regola firewall VPC, utilizza il compute firewall-rules update comando.

gcloud compute firewall-rules update RULE_NAME --disabled

Sostituisci RULE_NAME con il nome della regola firewall VPC da disattivare.

Per eliminare una regola firewall VPC, utilizza il compute firewall-rules delete comando.

gcloud compute firewall-rules delete RULE_NAME

Passaggi successivi