Wenn Ihre VPC-Firewallregeln (Virtual Private Cloud) weder Netzwerk-Tags noch Dienstkonten verwenden, führen Sie die folgenden Aufgaben aus, um die VPC-Firewallregeln zu einer globalen Netzwerk-Firewallrichtlinie zu migrieren:
- Umgebung bewerten
- Migrieren der VPC-Firewallregeln.
- Neue globale Richtlinie für Netzwerkfirewalls überprüfen
- Nach der Migration erforderliche Aufgaben ausführen
Hinweise
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Sie benötigen die Rolle „Compute Security Admin“ (
roles/compute.securityAdmin). - Ermitteln Sie die Anzahl der vorhandenen VPC-Firewallregeln in Ihrem Netzwerk.
- Notieren Sie sich die Prioritäten für jede einzelne VPC-Firewallregel.
- Prüfen Sie, ob Sie die erforderlichen IAM-Rollen (Identity and Access Management) und Berechtigungen haben, um globale Netzwerk-Firewallrichtlinien zu erstellen, zuzuordnen, zu ändern und aufzurufen.
NETWORK_NAME: Name des VPC-Netzwerks, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.NETWORK_NAME: Name Ihres VPC-Netzwerk, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.EXCLUSION_PATTERNS_FILE: Der Name der Datei, die reguläre Ausdrücke enthält, die VPC-Firewall-Namensmuster definieren, die von der Migration ausgeschlossen werden sollen. Geben Sie den vollständigen Pfad der Datei an. Firewallregeln, die den angegebenen Mustern entsprechen, werden übersprungen.Beachten Sie beim Definieren der Ausschlussmuster Folgendes:
- Jeder reguläre Ausdruck muss in einer eigenen Zeile stehen und ein einzelnes Firewall-Namensmuster darstellen.
- Die regulären Ausdrücke dürfen keine führenden oder nachgestellten Leerzeichen enthalten.
NETWORK_NAME: Name Ihres VPC-Netzwerk, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.EXCLUSION_PATTERNS_FILE: Der Pfad der Datei, in die die folgenden ausgeschlossenen Benennungsmuster für Firewallregeln exportiert werden.gke-(.+)-ipv6-all gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd)) k8s-fw-(l7-)?(.+) k8s-(.+)-((node)|(http)|(node-http))-hc (.+)-hc k8s2-(.+)-(.+)-(.+)-(.+)(-fw)? k8s2-(.+)-l4-shared-hc-fw gke((gw)|(mcg))1-l7-(.+)-(.+)
- Eine vom Nutzer angegebene Regel mit Priorität 100
- Eine ausgeschlossene Regel mit der Priorität 200
- Eine vom Nutzer angegebene Regel mit der Priorität 300
NETWORK_NAME: Name Ihres VPC-Netzwerk, das die VPC-Firewallregeln enthält, die Sie migrieren möchten.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, die während der Migration erstellt werden soll.- Relative Priorität
- Traffic-Richtung
- Aktion bei Übereinstimmung
- Log-Einstellungen
- Zielparameter
- Quellparameter (für Eingangsregeln)
- Zielparameter (für Ausgangsregeln)
- Einschränkungen für Protokolle und Ports
POLICY_NAME: Name der globalen Netzwerkrichtlinie, die Sie mit Ihrem VPC-Netzwerk verknüpfen möchten.NETWORK_NAMEist der Name des VPC-Netzwerks.PRIORITY: Priorität der zu aktualisierenden Regel.POLICY_NAME: Name der globalen Richtlinie für Netzwerkfirewalls, deren Regel Sie aktualisieren möchten.- Prüfen Sie, ob das Logging für VPC-Firewallregeln und die globale Netzwerk-Firewallrichtlinie aktiviert ist.
- Ändern Sie die Reihenfolge der Regelauswertung, sodass die globale Netzwerk-Firewallrichtlinie vor Ihren VPC-Firewallregeln ausgewertet wird.
- Prüfen Sie die Logs, um zu bestätigen, dass die globale Netzwerk-Firewallrichtlinie Trefferzahlen hat und die VPC-Firewallregeln überschattet werden.
- Weitere Informationen zum Migrieren von VPC-Firewallregeln
- VPC-Firewallregeln mit Abhängigkeiten migrieren
Umgebung bewerten
VPC-Firewallregeln migrieren
Nachdem Sie Ihre Umgebung bewertet haben, migrieren Sie Ihre VPC-Firewallregeln mit dem compute firewall-rules migrate-Befehl zu einer globalen Netzwerk-Firewallrichtlinie.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME
Ersetzen Sie dabei Folgendes:
Firewallregeln von der Migration ausschließen
Verwenden Sie den Befehl gcloud beta compute
firewall-rules migrate mit dem Flag --exclusion-patterns-file, um bestimmte Firewallregeln von der Migration auszuschließen:
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--exclusion-patterns-file=EXCLUSION_PATTERNS_FILE
Ersetzen Sie Folgendes:
Ausgeschlossene Firewallregeln ansehen
Aufgrund der ausgeschlossenen Benennungsmuster für Firewallregeln werden einige Firewallregeln, z. B. Google Kubernetes Engine-Firewallregeln (GKE), nicht vom Migrationstool migriert. Verwenden Sie den Befehl gcloud beta compute firewall-rules migrate mit den Flags --export-exclusion-patterns und --exclusion-patterns-file, um die Liste der ausgeschlossenen Benennungsmuster für Firewallregeln zu exportieren.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
--export-exclusion-patterns
Ersetzen Sie Folgendes:
Wenn Sie ausgeschlossene Firewallregeln migrieren möchten, die einem bestimmten Muster entsprechen, entfernen Sie das Muster aus der exportierten Liste und führen Sie den Befehl gcloud beta compute
firewall-rules migrate mit dem Flag --exclusion-patterns-file aus.
Migration erzwingen und gleichzeitig die Reihenfolge der Auswertung beibehalten
Wenn während der Migration die Auswertungsreihenfolge einer ausgeschlossenen Firewallregel zwischen die Auswertungsreihenfolgen der vom Nutzer angegebenen Firewallregeln fällt, schlägt die Migration fehl.Das liegt daran, dass die ausgeschlossenen Firewallregeln nicht migriert werden und das Migrationstool die ursprüngliche Auswertungsreihenfolge der vom Nutzer definierten Regeln in der neuen Netzwerk-Firewallrichtlinie nicht beibehalten kann.
Wenn Ihre Firewallregeln beispielsweise die folgenden Prioritäten haben, schlägt die Migration fehl.
Wenn Sie das Migrationstool zwingen möchten, die vom Nutzer angegebenen Regeln zu migrieren, wobei die ursprüngliche Auswertungsreihenfolge beibehalten und ausgeschlossene Firewallregeln ignoriert werden, verwenden Sie den Befehl gcloud beta compute firewall-rules migrate mit dem Flag --force.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--force
Ersetzen Sie Folgendes:
Neue globale Richtlinie für Netzwerkfirewalls prüfen
Bevor Sie die neue globale Netzwerk-Firewallrichtlinie einem VPC-Netzwerk zuordnen, empfiehlt Google, dass Sie die Richtlinie prüfen, um sicherzustellen, dass die Migration korrekt abgeschlossen wurde.
Prüfen Sie die Konfiguration der Firewallrichtlinienregeln und ob die folgenden Regelkomponenten für die einzelnen Regeln korrekt migriert wurden:
Weitere Informationen zu den Komponenten einer Firewallrichtlinien-Regel finden Sie unter Firewallrichtlinien-Regeln.
Nach der Migration erforderliche Aufgaben
Um Ihre globale Netzwerk-Firewallrichtlinie zu aktivieren und zu verwenden, müssen Sie die in den folgenden Abschnitten beschriebenen Aufgaben ausführen, die nach der Migration erforderlich sind.
Globale Netzwerk-Firewallrichtlinie mit Ihrem Netzwerk verknüpfen
Das Migrationstool erstellt die globale Netzwerk-Firewallrichtlinie auf Grundlage der vorhandenen VPC-Firewallregeln. Sie müssen die Richtlinie manuell mit dem erforderlichen VPC-Netzwerk verknüpfen, um die Richtlinienregeln für alle VMs in diesem Netzwerk zu aktivieren. Verwenden Sie zum Verknüpfen der globalen Netzwerk-Firewallrichtlinie den compute network-firewall-policies associations create-Befehl.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Ersetzen Sie dabei Folgendes:
Weitere Informationen zum Verknüpfen einer globalen Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
Reihenfolge der Richtlinien- und Regelauswertung ändern
Standardmäßig wertet Cloud Next Generation Firewall die VPC-Firewallregeln aus, bevor sie eine globale Netzwerk-Firewallrichtlinie auswertet. Damit globale Netzwerk-Firewallrichtlinien Vorrang vor VPC-Firewallregeln haben, verwenden Sie den compute networks update-Befehl, um die Reihenfolge der Regelauswertung zu ändern.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Ersetzen Sie NETWORK_NAME durch den Namen Ihres VPC-Netzwerks.
Verwenden Sie den Befehl compute networks get-effective-firewalls, um zu prüfen, ob die globale Netzwerk-Firewallrichtlinie vor den VPC-Firewallregeln ausgewertet wird.
gcloud compute networks get-effective-firewalls NETWORK_NAME
Wenn in der Ausgabe des vorherigen Befehls TYPE: network-firewall-policy vor TYPE: network-firewall angezeigt wird, wird die globale Netzwerk-Firewallrichtlinie zuerst ausgewertet.
Weitere Informationen zur Änderung der Reihenfolge der Richtlinien- und Regelauswertung finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.
Logging von Firewallregeln aktivieren
Anhand von Protokollen können Sie feststellen, ob eine Firewallregel wie gewünscht funktioniert.
Das Migrationstool behält den Logging-Status der vorhandenen VPC-Firewallregeln bei, wenn es die neue globale Netzwerk-Firewallrichtlinie erstellt. Achten Sie darauf, dass das Logging für die Regeln in der globalen Netzwerk-Firewallrichtlinie aktiviert ist.
Verwenden Sie den compute network-firewall-policies rules update-Befehl, um das Logging für Firewallrichtlinienregeln zu aktivieren.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Ersetzen Sie dabei Folgendes:
Globale Netzwerk-Firewallrichtlinie testen
Bevor Sie Ihre VPC-Firewallregeln löschen, testen Sie Ihre globale Netzwerk-Firewallrichtlinie, um zu prüfen, ob die Richtlinienregeln bei regelkonformem Traffic wie gewünscht funktionieren.
Gehen Sie dazu so vor:
VPC-Firewallregeln aus Ihrem Netzwerk löschen
Wir empfehlen, die VPC-Firewallregeln erst zu deaktivieren, bevor Sie sie vollständig löschen. Sie können zu diesen Regeln zurückkehren, wenn die vom Migrationstool erstellte globale Netzwerk-Firewallrichtlinie nicht die gewünschten Ergebnisse liefert.
Verwenden Sie zum Löschen einer VPC-Firewallregel den Befehl compute firewall-rules update:
gcloud compute firewall-rules update RULE_NAME --disabled
Ersetzen Sie RULE_NAME durch den Namen der VPC-Firewallregel, die deaktiviert werden soll.
Verwenden Sie zum Löschen einer VPC-Firewallregel den Befehl compute firewall-rules delete.
gcloud compute firewall-rules delete RULE_NAME