Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más información.

Descripción general

Puedes usar una sola solicitud desde la Google Cloud CLI o la API de Compute Engine para actualizar por lotes todas las reglas de la política de firewall para las políticas de firewall jerárquicas y de red. Esto garantiza la integridad del conjunto de reglas de la política de firewall. Con las actualizaciones por lotes, Cloud Next Generation Firewall te proporciona una forma eficiente y administrable de controlar las actualizaciones de las reglas de políticas de firewall en tus entornos de nube.

Para obtener más información sobre cómo configurar la actualización por lotes, consulta Configura actualizaciones por lotes para las reglas de políticas de firewall.

Permisos

Asegúrate de tener los siguientes permisos para actualizar de forma masiva las reglas de la política de firewall.

El permiso compute.firewallPolicies.get para exportar las reglas de política de firewall jerárquicas
El permiso compute.firewallPolicies.update para importar las reglas de política de firewall jerárquica
Permiso compute.firewallPolicies.get para exportar las reglas de la política de firewall de red.
Permiso de compute.regionFirewallPolicies.get para exportar reglas de políticas de firewall de red regionales.
El permiso compute.firewallPolicies.update para importar las reglas de la política de firewall de red
Permiso compute.regionFirewallPolicies.update para importar las reglas de la política de firewall de red regional

Para obtener más información sobre los roles y permisos, consulta Roles de Compute Engine.

Especificación

La actualización por lotes de reglas de políticas de firewall tiene las siguientes especificaciones:

El proceso de actualización es atómico. Esto significa que, si se produce un error durante la importación de las reglas, se revierten todos los cambios y la regla de la política de firewall permanece en su estado anterior.
Cuando usas las APIs de REST para actualizar las reglas de la política de firewall, estas requieren una huella digital para el bloqueo optimista. Para obtener más información, consulta Control de simultaneidad optimista. Para obtener la huella digital más reciente, te recomendamos que primero realices una solicitud get a la política de firewall. Una solicitud get a la política de firewall obtiene la versión más reciente de la política, lo que ayuda a garantizar que las actualizaciones se basen en la versión más reciente de la política. Esto ayuda a evitar conflictos si se realizan modificaciones simultáneas en la política.
Cuando usas el método patch de la API de REST, puedes reemplazar todas las reglas existentes proporcionando una lista completamente nueva en tu solicitud.
Si hay una operación de política de firewall patch en curso, no puedes modificar reglas con métodos como addRule, patchRule, removeRule o cloneRules. Esto ayuda a garantizar que no haya modificaciones en conflicto durante la operación de parche.

Configura la actualización por lotes

El proceso de actualización por lotes incluye tres pasos clave:

Exportar: Exporta las reglas de la política de firewall actual.
Modificar: Realiza las actualizaciones por lotes necesarias en las reglas de la política de firewall exportada.
Import: Importa el archivo modificado a las reglas de la política de firewall.

Para configurar la actualización por lotes de las reglas de la política de firewall, haz lo siguiente:

Exporta las reglas de tu política de firewall. Para obtener más información, consulta Cómo exportar una regla de política de firewall.
Modifica el archivo exportado. Puedes seguir estos pasos para actualizar el archivo:
- Agregar reglas nuevas: Asegúrate de que cada regla nueva cumpla con el esquema FirewallPolicyRule.yaml.
- Modifica las reglas existentes: Cambia los atributos de las reglas que deseas actualizar. Estos atributos incluyen la acción, la descripción y las condiciones de coincidencia con las que se evalúa el tráfico entrante.
- Borrar reglas: Quita las entradas de las reglas de política de firewall que quieras borrar.
Para obtener más información, consulta Cómo modificar reglas de políticas de firewall.
Importa las reglas nuevamente a tu política de firewall. Para obtener más información, consulta Cómo importar reglas de políticas de firewall.

¿Qué sigue?

Para obtener una introducción a las reglas de firewall, consulta Componentes de reglas de política de firewall.
Para obtener información sobre cómo configurar actualizaciones por lotes en las reglas de políticas de firewall, consulta Configura actualizaciones por lotes para políticas de firewall.