虛擬私有雲 (VPC) 防火牆規則適用於單一 VPC 網路。如要更精細地控管虛擬私有雲網路中虛擬機器 (VM) 執行個體收發的流量,可以在虛擬私有雲防火牆規則中使用網路標記或服務帳戶。不過,VPC 防火牆規則有下列限制:
無法批次編輯:虛擬私有雲防火牆規則是逐一套用,必須個別編輯,效率可能不彰。
身分與存取權管理 (IAM) 控制項有限:網路標記無法提供嚴格區隔流量所需的強大 IAM 控制項。
為解決虛擬私有雲防火牆規則的限制,Cloud Next Generation Firewall 支援全域和區域網路防火牆政策。您可以定義網路防火牆政策,並套用至多個區域的多個虛擬私有雲網路。這些政策也支援以 IAM 控管的安全標記,讓您在 VM 層級強制執行精細控管,安全可靠地對所有類型的網路流量進行微區隔。
詳情請參閱「將虛擬私有雲防火牆規則遷移至網路防火牆政策的優點」。
如要控管虛擬私有雲網路的存取權,您可以將現有的虛擬私有雲防火牆規則遷移至全域網路防火牆政策,充分運用網路防火牆政策的功能。
將虛擬私有雲防火牆規則遷移至網路防火牆政策的優點
網路防火牆政策可在Google Cloud 資源階層中提供一致的防火牆體驗,相較於虛擬私有雲防火牆規則,網路防火牆政策在運作方面具有多項優勢。
使用 IAM 管理的標記,提供精細的安全性和存取權控管機制。 Google Cloud 可讓您將個別標記附加至 VM 的每個網路介面。您可以根據標記定義防火牆政策規則,限制未經授權存取資源和工作負載流量。因此,您可以更精細地控管資源,確保每個使用者群組或應用程式都能享有最低權限的自助式環境。虛擬私有雲防火牆規則使用網路標記,但網路標記不支援 IAM 存取控管機制。
簡化規則管理作業。網路防火牆政策支援批次編輯,可讓您在單一政策中編輯多項規則。虛擬私有雲防火牆規則只會在規則層級運作。
操作簡單。網路防火牆政策支援使用完整網域名稱 (FQDN) 物件、地理位置物件、 威脅偵測 、入侵防禦 和位址群組等功能。VPC 防火牆規則不支援這些進階功能。
支援彈性資料落地。網路防火牆政策可套用至網路的多個區域或單一區域。虛擬私有雲防火牆規則只能全域套用。
虛擬私有雲防火牆規則遷移工具
虛擬私有雲防火牆規則遷移工具可自動將虛擬私有雲防火牆規則遷移至全域網路防火牆政策。這個工具是指令列公用程式,可透過 Google Cloud CLI 存取。
規格
遷移工具會建立全域網路防火牆政策,將現有的虛擬私有雲防火牆規則轉換為防火牆政策規則,並將新規則新增至政策。
如果兩個以上的虛擬私有雲防火牆規則優先順序相同,遷移工具會自動更新規則優先順序,避免發生任何重疊。動作為
deny的規則優先順序高於動作為allow的規則。 更新優先順序時,工具會保留原始虛擬私有雲防火牆規則的相對順序。舉例來說,如果您有四個優先順序為
1000的虛擬私有雲防火牆規則,以及一個優先順序為2000的規則,遷移工具會依序為前四個規則指派不重複的優先順序編號,即1000、1001、1002和1003。優先順序為2000的第五個規則會指派新的專屬優先順序1004。這樣可確保前四項規則的新優先順序,高於優先順序低於1000的所有規則。如果虛擬私有雲防火牆規則包含網路標記或服務帳戶等依附元件,遷移工具可以利用 IAM 管理的標記,取代這些網路標記和服務帳戶。
如果虛擬私有雲網路包含虛擬私有雲防火牆規則和相關聯的網路防火牆政策,遷移工具會將相容的虛擬私有雲防火牆規則和網路防火牆政策規則,一併移至新的全域網路防火牆政策。
遷移工具會保留現有虛擬私有雲防火牆規則的記錄設定。如果虛擬私有雲防火牆規則已啟用記錄功能,遷移工具會維持啟用狀態。如果記錄功能已關閉,遷移工具會維持關閉狀態。
遷移工具只會產生全域網路防火牆政策。這項工具不會刪除現有的虛擬私有雲防火牆規則,也不會將新的全域網路防火牆政策與必要的虛擬私有雲網路建立關聯。您必須手動將全域網路防火牆政策與所需的虛擬私有雲網路建立關聯,然後移除虛擬私有雲防火牆規則與虛擬私有雲網路之間的關聯。
將全域網路防火牆政策與必要的虛擬私有雲網路建立關聯後,如果全域網路防火牆政策中的政策規則運作正常,您就可以停用虛擬私有雲防火牆規則。
如有需要,您可以將新的全域網路防火牆政策和虛擬私有雲防火牆規則與同一個虛擬私有雲網路建立關聯,因為系統會根據政策和規則評估順序套用規則。 不過,建議您停用 VPC 防火牆規則。
遷移情境
將虛擬私有雲防火牆規則遷移至全域網路防火牆政策時,請考量下列情境:
下圖顯示上述設定組合的遷移工作流程。選擇符合網路需求的流程。
