Si tus reglas de firewall de la nube privada virtual (VPC) no usan ninguna etiqueta de red ni cuenta de servicio, ejecuta las siguientes tareas para migrar las reglas de firewall de VPC a una política de firewall de red global:
- Evalúa el entorno.
- Migra las reglas de firewall de VPC.
- Revisa la nueva política de firewall de red global.
- Completa las tareas posteriores a la migración.
Antes de comenzar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Asegúrate de tener el rol de Administrador de seguridad de Compute (
roles/compute.securityAdmin). - Identifica la cantidad de reglas de firewall de VPC existentes en tu red.
- Toma nota de las prioridades asociadas con cada regla de firewall de VPC.
- Asegúrate de tener los roles y los permisos de Identity and Access Management (IAM) necesarios para crear, asociar, modificar y ver políticas de firewall de red globales.
NETWORK_NAME: El nombre de la red de VPC que contiene las reglas de firewall de VPC que deseas migrar.POLICY_NAME: Es el nombre de la política de firewall de red global que se creará durante la migración.NETWORK_NAME: El nombre de la red de VPC que contiene las reglas de firewall de VPC que deseas migrar.POLICY_NAME: Es el nombre de la política de firewall de red global que se creará durante la migración.EXCLUSION_PATTERNS_FILE: Es el nombre del archivo que contiene expresiones regulares que definen patrones de nombres de firewall de VPC para excluir de la migración. Asegúrate de especificar la ruta de acceso completa del archivo. Se omiten las reglas de firewall que coinciden con los patrones especificados.Cuando definas los patrones de exclusión, ten en cuenta lo siguiente:
- Cada expresión regular debe estar en su propia línea y representar un solo patrón de nomenclatura de firewall.
- Las expresiones regulares no contienen espacios en blanco iniciales ni finales.
NETWORK_NAME: El nombre de la red de VPC que contiene las reglas de firewall de VPC que deseas migrar.POLICY_NAME: Es el nombre de la política de firewall de red global que se creará durante la migración.EXCLUSION_PATTERNS_FILE: Es la ruta de acceso del archivo en el que se exportan los siguientes patrones de nombres de reglas de firewall excluidas.gke-(.+)-ipv6-all gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd)) k8s-fw-(l7-)?(.+) k8s-(.+)-((node)|(http)|(node-http))-hc (.+)-hc k8s2-(.+)-(.+)-(.+)-(.+)(-fw)? k8s2-(.+)-l4-shared-hc-fw gke((gw)|(mcg))1-l7-(.+)-(.+)
- Una regla especificada por el usuario con prioridad 100
- Una regla excluida con prioridad 200
- Una regla especificada por el usuario con prioridad 300
NETWORK_NAME: El nombre de la red de VPC que contiene las reglas de firewall de VPC que deseas migrar.POLICY_NAME: Es el nombre de la política de firewall de red global que se creará durante la migración.- Prioridad relativa
- Dirección del tráfico
- Acción en caso de coincidencia
- Configuración de registros
- Parámetros de destino
- Parámetros de origen (para reglas de entrada)
- Parámetros de destino (para reglas de salida)
- Restricciones de protocolos y puertos
POLICY_NAME: Es el nombre de la política de red global que deseas asociar a la red de VPC.NETWORK_NAME: El nombre de tu red de VPC.PRIORITY: La prioridad de la regla que se actualizará.POLICY_NAME: Es el nombre de la política de firewall de red global cuya regla deseas actualizar.- Asegúrate de haber habilitado el registro en las reglas de firewall de VPC y la política de firewall de red global.
- Cambia el orden de evaluación de reglas para que la política de firewall de red global se evalúe antes que tus reglas de firewall de VPC.
- Supervisa los registros para verificar que la política de firewall de red global tenga recuentos de hits y que las reglas de firewall de VPC estén bloqueadas.
- Obtén más información para conocer cómo migrar las reglas de firewall de VPC.
- Migra las reglas de firewall de VPC con dependencias.
Evalúa el entorno
Migra las reglas de firewall de VPC
Después de evaluar tu entorno, migra tus reglas de firewall de VPC
a una política de firewall de red global con el
comando compute firewall-rules migrate.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME
Reemplaza lo siguiente:
Excluye reglas de firewall de la migración
Para excluir reglas de firewall específicas de la migración, usa el comando gcloud beta compute
firewall-rules migrate con la marca --exclusion-patterns-file:
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--exclusion-patterns-file=EXCLUSION_PATTERNS_FILE
Reemplaza lo siguiente:
Cómo ver las reglas de firewall excluidas
Según los patrones de nombres de reglas de firewall excluidas, la herramienta de migración no migra algunas reglas de firewall, como las reglas de firewall de Google Kubernetes Engine (GKE). Para exportar la lista de patrones de nombres de reglas de firewall excluidas, usa el comando gcloud beta compute firewall-rules migrate con las marcas --export-exclusion-patterns y --exclusion-patterns-file.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
--export-exclusion-patterns
Reemplaza lo siguiente:
Para migrar las reglas de firewall excluidas que coinciden con un patrón específico, quita el patrón de la lista exportada y ejecuta el comando gcloud beta compute
firewall-rules migrate con la marca --exclusion-patterns-file.
Forzar la migración y conservar el orden de evaluación
Durante la migración, si el orden de evaluación de una regla de firewall excluida se encuentra entre los órdenes de evaluación de las reglas de firewall especificadas por el usuario, la migración falla.Esto sucede porque las reglas de firewall excluidas no se migran y la herramienta de migración no puede conservar el orden de evaluación original de las reglas definidas por el usuario en la nueva política de firewall de red.
Por ejemplo, si tus reglas de firewall tienen las siguientes prioridades, la migración fallará.
Para forzar la migración de las reglas especificadas por el usuario con la herramienta de migración y, al mismo tiempo, conservar su orden de evaluación original y omitir las reglas de firewall excluidas, usa el comando gcloud beta compute firewall-rules migrate con la marca --force.
gcloud beta compute firewall-rules migrate \
--source-network=NETWORK_NAME \
--target-firewall-policy=POLICY_NAME \
--force
Reemplaza lo siguiente:
Revisa la nueva política de firewall de red global
Antes de adjuntar la nueva política de firewall de red global a una red de VPC, Google recomienda que revises la política para asegurarte de que el proceso de migración se haya completado con exactitud.
Comprueba la configuración de las reglas de la política de firewall y si los siguientes componentes de reglas se migran de forma correcta para cada regla:
Para obtener más información sobre los componentes de una regla de política de firewall, consulta Reglas de política de firewall.
Tareas posteriores a la migración
Para activar y usar tu política de firewall de red global, debes completar las tareas posteriores a la migración que se analizan en las siguientes secciones.
Asocia la política de firewall de red global con tu red
La herramienta de migración crea la política de firewall de red global basada en las
reglas de firewall de VPC existentes. Debes asociar la política de forma manual
con la red de VPC requerida y activar las reglas de la política para cualquier VM dentro de esa red. Para asociar la política de firewall de red global,
usa el comando compute network-firewall-policies associations create.
gcloud compute network-firewall-policies associations create \
--firewall-policy=POLICY_NAME \
--network=NETWORK_NAME \
--global-firewall-policy
--replace-association-on-target
Reemplaza lo siguiente:
Para obtener más información sobre cómo asociar una política de firewall de red global a una red de VPC, consulta Asocia una política con la red.
Cambia el orden de evaluación de políticas y reglas
De forma predeterminada, el firewall de nueva generación de Cloud evalúa las reglas de firewall de VPC
antes de evaluar una política de firewall de red global. Para asegurarte
de que las políticas de firewall de red globales tengan prioridad sobre las reglas de firewall de VPC,
usa el comando compute networks update para cambiar el orden de evaluación de la regla.
gcloud compute networks update NETWORK-NAME \
--network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL
Reemplaza NETWORK_NAME por el nombre de la red de VPC.
Para comprobar si la política de firewall de red global se evalúa antes que las reglas de firewall de VPC,
usa el
comando compute networks get-effective-firewalls.
gcloud compute networks get-effective-firewalls NETWORK_NAME
En el resultado del comando anterior, si TYPE: network-firewall-policy se
muestra antes de TYPE: network-firewall, primero se evalúa la política de firewall
de red global.
Para obtener más información sobre el cambio en el orden de evaluación de políticas y reglas, consulta Cambia el orden de evaluación de políticas y reglas.
Habilita el registro de reglas de firewall
El registro te ayuda a determinar si una regla de firewall funciona según lo previsto.
La herramienta de migración conserva el estado de registro de las reglas de firewall de VPC existentes cuando crea la nueva política de firewall de red global. Asegúrate
de que el registro esté habilitado para las reglas dentro de la política de firewall de red global.
Para habilitar el registro de las reglas de políticas de firewall, usa el
comando compute network-firewall-policies rules update.
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--enable-logging
--global-firewall-policy
Reemplaza lo siguiente:
Prueba la política de firewall de red global
Antes de borrar las reglas de firewall de VPC, prueba tu política de firewall de red global y comprueba si las reglas de la política funcionan de acuerdo con tus expectativas para el tráfico que coincida con las reglas.
Puedes hacer lo siguiente:
Borra las reglas de firewall de VPC de tu red
Google recomienda que inhabilites las reglas de firewall de VPC antes de borrarlas por completo. Puedes volver a esas reglas si la política de firewall de red global que creó la herramienta de migración no proporciona los resultados esperados.
Para borrar una regla de firewall de VPC, usa el
comando compute firewall-rules update.
gcloud compute firewall-rules update RULE_NAME --disabled
Reemplaza RULE_NAME por el nombre de la regla de firewall de VPC que se inhabilitará.
Para borrar una regla de firewall de VPC, usa el comando compute firewall-rules delete.
gcloud compute firewall-rules delete RULE_NAME