Memigrasikan aturan firewall VPC yang tidak menggunakan tag jaringan dan akun layanan

Jika aturan firewall Virtual Private Cloud (VPC) Anda tidak menggunakan tag jaringan atau akun layanan apa pun, lakukan tugas berikut untuk memigrasikan aturan firewall VPC ke kebijakan firewall jaringan global:

  1. Evaluasi lingkungan Anda.
  2. Migrasikan aturan firewall VPC.
  3. Tinjau kebijakan firewall jaringan global yang baru.
  4. Selesaikan tugas pascamigrasi.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine API.

    Enable the API

  11. Install the Google Cloud CLI.

  12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  13. To initialize the gcloud CLI, run the following command: 

    gcloud init
  14. Pastikan Anda memiliki peran Compute Security Admin (roles/compute.securityAdmin).

    15. Mengevaluasi lingkungan Anda

    1. Identifikasi jumlah aturan firewall VPC yang ada di jaringan Anda.
    2. Catat prioritas yang terkait dengan setiap aturan firewall VPC.
    3. Pastikan Anda memiliki peran dan izin Identity and Access Management (IAM) yang diperlukan untuk membuat, mengaitkan, mengubah, dan melihat kebijakan firewall jaringan global.

    Migrasikan aturan firewall VPC

    Setelah menilai lingkungan Anda, migrasikan aturan firewall VPC ke kebijakan firewall jaringan global menggunakan perintah compute firewall-rules migrate.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME

    Ganti kode berikut:

    • NETWORK_NAME: nama jaringan VPC Anda yang berisi aturan firewall VPC yang ingin Anda migrasikan.
    • POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

    Mengecualikan aturan firewall dari migrasi

    Untuk mengecualikan aturan firewall tertentu dari migrasi, gunakan perintah gcloud beta compute firewall-rules migrate dengan tanda --exclusion-patterns-file:

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

    Ganti kode berikut:

    • NETWORK_NAME: nama jaringan VPC Anda yang berisi aturan firewall VPC yang ingin Anda migrasikan.
    • POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

    • EXCLUSION_PATTERNS_FILE: nama file yang berisi ekspresi reguler yang menentukan pola penamaan firewall VPC yang akan dikecualikan dari migrasi. Pastikan untuk menentukan jalur lengkap file. Aturan firewall yang cocok dengan pola yang ditentukan akan dilewati.

      Saat menentukan pola pengecualian, pertimbangkan hal berikut:

      • Setiap ekspresi reguler harus berada di barisnya sendiri dan merepresentasikan satu pola penamaan firewall.
      • Ekspresi reguler tidak berisi spasi di awal atau akhir.

    Melihat aturan firewall yang dikecualikan

    Berdasarkan pola penamaan aturan firewall yang dikecualikan, alat migrasi tidak akan memigrasikan beberapa aturan firewall, seperti aturan firewall Google Kubernetes Engine (GKE). Untuk mengekspor daftar pola penamaan aturan firewall yang dikecualikan, gunakan perintah gcloud beta compute firewall-rules migrate dengan tanda --export-exclusion-patterns dan --exclusion-patterns-file.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

    Ganti kode berikut:

    • NETWORK_NAME: nama jaringan VPC Anda yang berisi aturan firewall VPC yang ingin Anda migrasikan.
    • POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

    • EXCLUSION_PATTERNS_FILE: jalur file tempat pola penamaan aturan firewall yang dikecualikan berikut diekspor.

      gke-(.+)-ipv6-all
gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
k8s-fw-(l7-)?(.+)
k8s-(.+)-((node)|(http)|(node-http))-hc
(.+)-hc
k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
k8s2-(.+)-l4-shared-hc-fw
gke((gw)|(mcg))1-l7-(.+)-(.+)

    Untuk memigrasikan aturan firewall yang dikecualikan yang cocok dengan pola tertentu, hapus pola dari daftar yang diekspor dan jalankan perintah gcloud beta compute firewall-rules migrate dengan flag --exclusion-patterns-file.

    Memaksa migrasi sambil mempertahankan urutan evaluasi

    Selama migrasi, jika urutan evaluasi aturan firewall yang dikecualikan berada di antara urutan evaluasi aturan firewall yang ditentukan pengguna, migrasi akan gagal.Hal ini terjadi karena aturan firewall yang dikecualikan tidak dimigrasikan, dan alat migrasi tidak dapat mempertahankan urutan evaluasi asli aturan yang ditentukan pengguna dalam kebijakan firewall jaringan baru.

    Misalnya, jika aturan firewall Anda memiliki prioritas berikut, migrasi akan gagal.

    • Aturan yang ditentukan pengguna dengan prioritas 100
    • Aturan yang dikecualikan dengan prioritas 200
    • Aturan yang ditentukan pengguna dengan prioritas 300

    Untuk memaksa alat migrasi memigrasikan aturan yang ditentukan pengguna sekaligus mempertahankan urutan evaluasi aslinya dan mengabaikan aturan firewall yang dikecualikan, gunakan perintah gcloud beta compute firewall-rules migrate dengan flag --force.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

    Ganti kode berikut:

    • NETWORK_NAME: nama jaringan VPC Anda yang berisi aturan firewall VPC yang ingin Anda migrasikan.
    • POLICY_NAME: nama kebijakan firewall jaringan global yang akan dibuat selama migrasi.

    Tinjau kebijakan firewall jaringan global yang baru

    Sebelum Anda melampirkan kebijakan firewall jaringan global baru ke jaringan VPC, Google merekomendasikan agar Anda meninjau kebijakan tersebut untuk membantu memastikan proses migrasi telah selesai dengan akurat.

    Verifikasi konfigurasi aturan kebijakan firewall, dan periksa apakah komponen aturan berikut dimigrasikan dengan benar untuk setiap aturan:

    • Prioritas relatif
    • Direction of traffic
    • Tindakan jika ada kecocokan
    • Setelan log
    • Parameter target
    • Parameter sumber (untuk aturan masuk)
    • Parameter tujuan (untuk aturan keluar)
    • Batasan protokol dan port

    Untuk mengetahui informasi selengkapnya tentang komponen aturan kebijakan firewall, lihat Aturan kebijakan firewall.

    Tugas pascamigrasi

    Untuk mengaktifkan dan menggunakan kebijakan firewall jaringan global, Anda harus menyelesaikan tugas pasca-migrasi yang dibahas di bagian berikut.

    Mengaitkan kebijakan firewall jaringan global dengan jaringan Anda

    Alat migrasi membuat kebijakan firewall jaringan global berdasarkan aturan firewall VPC yang ada. Anda harus mengaitkan kebijakan secara manual dengan jaringan VPC yang diperlukan untuk mengaktifkan aturan kebijakan bagi VM apa pun dalam jaringan tersebut. Untuk mengaitkan kebijakan firewall jaringan global, gunakan perintah compute network-firewall-policies associations create.

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

    Ganti kode berikut:

    • POLICY_NAME: nama kebijakan jaringan global yang ingin Anda kaitkan dengan jaringan VPC Anda.
    • NETWORK_NAME: nama jaringan VPC Anda.

    Untuk mengetahui informasi selengkapnya tentang mengaitkan kebijakan firewall jaringan global ke jaringan VPC, lihat Mengaitkan kebijakan dengan jaringan.

    Mengubah urutan evaluasi kebijakan dan aturan

    Secara default, Cloud Next Generation Firewall mengevaluasi aturan firewall VPC sebelum mengevaluasi kebijakan firewall jaringan global. Untuk memastikan bahwa kebijakan firewall jaringan global lebih diprioritaskan daripada aturan firewall VPC, gunakan perintah compute networks update untuk mengubah urutan evaluasi aturan.

    gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

    Ganti NETWORK_NAME dengan nama jaringan VPC Anda.

    Untuk memverifikasi apakah kebijakan firewall jaringan global dievaluasi sebelum aturan firewall VPC, gunakan perintah compute networks get-effective-firewalls.

    gcloud compute networks get-effective-firewalls NETWORK_NAME

    Dalam output perintah sebelumnya, jika TYPE: network-firewall-policy ditampilkan sebelum TYPE: network-firewall, maka kebijakan firewall jaringan global dievaluasi terlebih dahulu.

    Untuk mengetahui informasi selengkapnya tentang perubahan urutan evaluasi kebijakan dan aturan, lihat Mengubah urutan evaluasi kebijakan dan aturan.

    Mengaktifkan logging aturan firewall

    Logging membantu Anda menentukan apakah aturan firewall berfungsi sebagaimana mestinya. Alat migrasi mempertahankan status logging aturan firewall VPC yang ada saat membuat kebijakan firewall jaringan global baru. Pastikan logging diaktifkan untuk aturan dalam kebijakan firewall jaringan global. Untuk mengaktifkan logging untuk aturan kebijakan firewall, gunakan perintah compute network-firewall-policies rules update.

    gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

    Ganti kode berikut:

    • PRIORITY: prioritas aturan yang akan diperbarui.
    • POLICY_NAME: nama kebijakan firewall jaringan global yang aturannya ingin Anda perbarui.

    Menguji kebijakan firewall jaringan global

    Sebelum menghapus aturan firewall VPC, uji kebijakan firewall jaringan global Anda untuk memeriksa apakah aturan kebijakan berfungsi sesuai dengan ekspektasi Anda untuk traffic apa pun yang cocok dengan aturan tersebut.

    Lakukan tindakan berikut:

    1. Pastikan Anda telah mengaktifkan logging pada aturan firewall VPC dan kebijakan firewall jaringan global.
    2. Ubah urutan evaluasi aturan, sehingga kebijakan firewall jaringan global dievaluasi sebelum aturan firewall VPC Anda.
    3. Pantau log untuk memverifikasi bahwa kebijakan firewall jaringan global memiliki jumlah hit dan aturan firewall VPC dibayangi.

    Hapus aturan firewall VPC dari jaringan Anda

    Google merekomendasikan agar Anda menonaktifkan aturan firewall VPC terlebih dahulu sebelum menghapusnya sepenuhnya. Anda dapat kembali ke aturan tersebut jika kebijakan firewall jaringan global yang dibuat oleh alat migrasi gagal memberikan hasil yang diharapkan.

    Untuk menonaktifkan aturan firewall VPC, gunakan perintah compute firewall-rules update.

    gcloud compute firewall-rules update RULE_NAME --disabled

    Ganti RULE_NAME dengan nama aturan firewall VPC yang akan dinonaktifkan.

    Untuk menghapus aturan firewall VPC, gunakan perintah compute firewall-rules delete.

    gcloud compute firewall-rules delete RULE_NAME

    Langkah berikutnya