Puedes usar una sola solicitud desde Google Cloud CLI o la API de Compute Engine para actualizar por lotes todas las reglas de políticas de firewall para políticas de firewall jerárquicas y de red. Esto garantiza la integridad del conjunto de reglas de la política de firewall. Con las actualizaciones por lotes, el firewall de nueva generación de Cloud proporciona una forma eficiente y administrable de controlar las actualizaciones de la regla de política de firewall en tus entornos de nube.
Para obtener más información sobre cómo configurar la actualización por lotes, consulta Configura actualizaciones por lotes para las reglas de política de firewall.
Permisos
Asegúrate de tener los siguientes permisos para actualizar por lotes las reglas de la política de firewall.
- El permiso
compute.firewallPolicies.getpara exportar las reglas de políticas de firewall jerárquicas - El permiso
compute.firewallPolicies.updatepara importar las reglas de políticas de firewall jerárquicas - El permiso
compute.firewallPolicies.getpara exportar las reglas de la política de firewall de red - El permiso
compute.regionFirewallPolicies.getpara exportar reglas de política de firewall de red regionales - El permiso
compute.firewallPolicies.updatepara importar las reglas de la política de firewall de la red - El permiso
compute.regionFirewallPolicies.updatepara importar las reglas de política de firewall de red regional.
Para obtener más información sobre las funciones y los permisos, consulta Funciones de Compute Engine.
Especificación
La actualización por lotes de las reglas de política de firewall tiene las siguientes especificaciones:
El proceso de actualización es atómico. Esto significa que, si se produce un error mientras se importan las reglas, todos los cambios se revertirán y la regla de política de firewall permanecerá en su estado anterior.
Cuando usas las APIs de REST para actualizar las reglas de políticas de firewall, las APIs de REST requieren una huella digital para el bloqueo optimista. Para obtener más información, consulta Control de simultaneidad optimista. Para obtener la huella digital más reciente, te recomendamos que primero realices una solicitud
geta la política de firewall. Una solicitudgeta la política de firewall obtiene la versión más reciente de la política, lo que ayuda a garantizar que las actualizaciones se basen en la versión más reciente de la política. Esto ayuda a evitar conflictos si se realizan modificaciones simultáneas en la política.Cuando usas el método
patchde la API de REST, puedes reemplazar todas las reglas existentes si proporcionas una lista completamente nueva en tu solicitud.Si hay una operación de política de firewall
patchen curso, no podrás modificar reglas usando métodos comoaddRule,patchRule,removeRuleocloneRules. Esto ayuda a garantizar que no haya modificaciones en conflicto durante la operación de aplicación de parches.
Configura la actualización por lotes
El proceso de actualización por lotes implica tres pasos clave:
- Exportar: Exporta tus reglas de política de firewall actuales.
- Modificar: realiza las actualizaciones por lotes necesarias a las reglas de política de firewall exportadas.
- Importar: Importa el archivo modificado de nuevo a las reglas de la política de firewall.
Para configurar la actualización por lotes de las reglas de políticas de firewall, haz lo siguiente:
Exporta tus reglas de política de firewall. Para obtener más información, consulta Exporta una regla de política de firewall.
Modifica el archivo exportado. Puedes realizar los siguientes pasos para actualizar el archivo:
Agrega reglas nuevas: Asegúrate de que cada regla nueva cumpla con el esquema
FirewallPolicyRule.yaml.Modifica las reglas existentes: Cambia los atributos de las reglas que deseas actualizar. Estos atributos incluyen la acción, la descripción y las condiciones de coincidencia con las que se evalúa el tráfico entrante.
Borrar reglas: Quita las entradas de las reglas de política de firewall que deseas borrar.
Para obtener más información, consulta Modifica las reglas de la política de firewall.
Vuelve a importar las reglas a tu política de firewall. Para obtener más información, consulta Importa reglas de política de firewall.
¿Qué sigue?
- Para obtener una introducción a las reglas de firewall, consulta Reglas de políticas de firewall.
- Si deseas obtener información sobre cómo configurar actualizaciones por lotes para las reglas de políticas de firewall, consulta Configura actualizaciones por lotes para políticas de firewall.