Migrar regras de firewall de VPC que não usam tags de rede e contas de serviço

Se as regras de firewall da nuvem privada virtual (VPC) não usarem tags de rede ou contas de serviço, execute as seguintes tarefas para migrar as regras para uma política de firewall de rede global:

  1. Avalie o ambiente.
  2. Migre as regras de firewall da VPC.
  3. Analise a nova política de firewall de rede global.
  4. Conclua as tarefas de pós-migração.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine API.

    Enable the API

  11. Install the Google Cloud CLI.

  12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  13. To initialize the gcloud CLI, run the following command: 

    gcloud init
  14. Verifique se você tem o papel de administrador de segurança do Compute (roles/compute.securityAdmin).

    15. Avaliar o ambiente

    1. Identifique o número de regras de firewall de VPC na sua rede.
    2. Anote as prioridades associadas a cada regra de firewall da VPC.
    3. Verifique se você tem os papéis e as permissões de gerenciamento de identidade e acesso (IAM) necessários para criar, associar, modificar e visualizar políticas globais de firewall de rede.

    Migrar as regras de firewall da VPC

    Depois de avaliar o ambiente, migre as regras de firewall da VPC para uma política de firewall de rede global usando o comando compute firewall-rules migrate.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME

    Substitua:

    • NETWORK_NAME: o nome da rede VPC que contém as regras de firewall da VPC que você quer migrar.
    • POLICY_NAME: o nome da política de firewall de rede global a ser criada durante a migração.

    Excluir regras de firewall da migração

    Para excluir regras de firewall específicas da migração, use o comando gcloud beta compute firewall-rules migrate com a flag --exclusion-patterns-file:

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

    Substitua:

    • NETWORK_NAME: o nome da rede VPC que contém as regras de firewall da VPC que você quer migrar.
    • POLICY_NAME: o nome da política de firewall de rede global a ser criada durante a migração.

    • EXCLUSION_PATTERNS_FILE: o nome do arquivo que contém expressões regulares que definem padrões de nomenclatura de firewall da VPC a serem excluídos da migração. Especifique o caminho completo do arquivo. As regras de firewall que correspondem aos padrões especificados são ignoradas.

      Ao definir os padrões de exclusão, considere o seguinte:

      • Cada expressão regular precisa estar em uma linha e representar um único padrão de nomenclatura de firewall.
      • As expressões regulares não contêm espaços em branco no início ou no fim.

    Ver regras de firewall excluídas

    Com base nos padrões de nomenclatura de regras de firewall excluídas, a ferramenta de migração não migra algumas regras de firewall, como as do Google Kubernetes Engine (GKE). Para exportar a lista de padrões de nomenclatura de regras de firewall excluídos, use o comando gcloud beta compute firewall-rules migrate com as flags --export-exclusion-patterns e --exclusion-patterns-file.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

    Substitua:

    • NETWORK_NAME: o nome da rede VPC que contém as regras de firewall da VPC que você quer migrar.
    • POLICY_NAME: o nome da política de firewall de rede global a ser criada durante a migração.

    • EXCLUSION_PATTERNS_FILE: o caminho do arquivo em que os seguintes padrões de nomenclatura de regras de firewall excluídas são exportados.

      gke-(.+)-ipv6-all
gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
k8s-fw-(l7-)?(.+)
k8s-(.+)-((node)|(http)|(node-http))-hc
(.+)-hc
k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
k8s2-(.+)-l4-shared-hc-fw
gke((gw)|(mcg))1-l7-(.+)-(.+)

    Para migrar regras de firewall excluídas que correspondem a um padrão específico, remova o padrão da lista exportada e execute o comando gcloud beta compute firewall-rules migrate com a flag --exclusion-patterns-file.

    Forçar a migração preservando a ordem de avaliação

    Durante a migração, se a ordem de avaliação de uma regra de firewall excluída ficar entre as ordens de avaliação das regras de firewall especificadas pelo usuário, a migração vai falhar.Isso acontece porque as regras de firewall excluídas não são migradas, e a ferramenta de migração não consegue preservar a ordem de avaliação original das regras definidas pelo usuário na nova política de firewall de rede.

    Por exemplo, se as regras de firewall tiverem as seguintes prioridades, a migração vai falhar.

    • Uma regra especificada pelo usuário com prioridade 100
    • Uma regra excluída com prioridade 200
    • Uma regra especificada pelo usuário com prioridade 300

    Para forçar a ferramenta de migração a migrar as regras especificadas pelo usuário preservando a ordem de avaliação original e ignorando regras de firewall excluídas, use o comando gcloud beta compute firewall-rules migrate com a flag --force.

    gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

    Substitua:

    • NETWORK_NAME: o nome da rede VPC que contém as regras de firewall da VPC que você quer migrar.
    • POLICY_NAME: o nome da política de firewall de rede global a ser criada durante a migração.

    Analisar a nova política de firewall de rede global

    Antes de anexar a nova política de firewall de rede global a uma rede VPC, o Google recomenda que você revise a política para garantir que o processo de migração tenha sido concluído sem erros.

    Verifique a configuração das regras da política de firewall e confirme se os seguintes componentes da regra foram migrados corretamente para cada regra:

    • Prioridade relativa
    • Direção do tráfego
    • Ação se houver correspondência
    • Configurações de registro
    • Parâmetros de destino
    • Parâmetros de origem (para regras de entrada)
    • Parâmetros de destino (para regras de saída)
    • Restrições de protocolo e porta

    Para mais informações sobre os componentes de uma regra da política de firewall, consulte Regras da política de firewall.

    Tarefas pós-migração

    Para ativar e usar a política de firewall de rede global, conclua as tarefas de pós-migração abordadas nas seções a seguir.

    Associar a política de firewall de rede global à sua rede

    A ferramenta de migração cria a política de firewall da rede global com base nas regras de firewall atuais da VPC. É preciso associar manualmente a política à rede VPC necessária para ativar as regras de política de todas as VMs nessa rede. Para associar a política de firewall da rede global, use o comando compute network-firewall-policies associations create.

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=POLICY_NAME \
    --network=NETWORK_NAME \
    --global-firewall-policy
    --replace-association-on-target

    Substitua:

    • POLICY_NAME: o nome da política de rede global que você quer associar à rede VPC.
    • NETWORK_NAME: o nome da sua rede VPC.

    Para mais informações sobre como associar uma política de firewall de rede global a uma rede VPC, consulte Associar uma política à rede.

    Alterar a política e a ordem de avaliação de regras

    Por padrão, o Cloud Next Generation Firewall avalia as regras de firewall da VPC antes de avaliar uma política de firewall de rede global. Para garantir que as políticas de firewall da rede globais tenham precedência sobre as regras de firewall da VPC, use o comando compute networks update para alterar a ordem de avaliação da regra.

    gcloud compute networks update NETWORK-NAME \
    --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

    Substitua NETWORK_NAME pelo nome da rede VPC.

    Para verificar se a política de firewall de rede global é avaliada antes das regras de firewall da VPC, use o comando compute networks get-effective-firewalls.

    gcloud compute networks get-effective-firewalls NETWORK_NAME

    Na saída do comando anterior, se TYPE: network-firewall-policy for exibido antes de TYPE: network-firewall, a política de firewall de rede global será avaliada primeiro.

    Para mais informações sobre a política de alteração e a ordem de avaliação de regras, consulte Alterar política e ordem de avaliação de regras.

    Ativar a geração de registros de regras de firewall

    A geração de registros ajuda a determinar se uma regra de firewall está funcionando conforme o esperado. A ferramenta de migração mantém o status de geração de registros das regras de firewall da VPC atuais quando cria a nova política de firewall de rede global. Verifique se a geração de registros está ativada para as regras dentro da política de firewall da rede global. Para ativar a geração de registros para regras de política de firewall, use o comando compute network-firewall-policies rules update.

    gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --enable-logging
    --global-firewall-policy

    Substitua:

    • PRIORITY: a prioridade da regra a ser atualizada.
    • POLICY_NAME: o nome da política de firewall da rede global que tem a regra que você quer atualizar.

    Testar a política de firewall de rede global

    Antes de excluir as regras de firewall da VPC, teste a política de firewall de rede global para verificar se elas estão funcionando de acordo com suas expectativas para qualquer tráfego que corresponda às regras.

    Faça o seguinte:

    1. Verifique se você ativou a geração de registros nas regras de firewall da VPC e na política de firewall da rede global.
    2. Altere a ordem de avaliação da regra para que a política de firewall da rede global seja avaliada antes das regras de firewall da VPC.
    3. Monitore os registros para verificar se a política de firewall da rede global tem contagens de ocorrências e se as regras de firewall da VPC estão ocultas.

    Excluir as regras de firewall da VPC da sua rede

    O Google recomenda que você desative as regras de firewall de VPC antes de excluí-las completamente. É possível reverter para essas regras se a política de firewall de rede global criada pela ferramenta de migração não fornecer os resultados esperados.

    Para desativar uma regra de firewall da VPC, use o comando compute firewall-rules update.

    gcloud compute firewall-rules update RULE_NAME --disabled

    Substitua RULE_NAME pelo nome da regra de firewall da VPC a ser desativada.

    Para excluir uma regra de firewall da VPC, use o comando compute firewall-rules delete

    gcloud compute firewall-rules delete RULE_NAME

    A seguir