Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Aperçu

Vous pouvez utiliser une seule requête de la Google Cloud CLI ou de l'API Compute Engine pour mettre à jour de manière groupée toutes les règles des stratégies de pare-feu pour les stratégies de pare-feu hiérarchiques et réseau. Cela garantit l'intégrité de l'ensemble de règles de la stratégie de pare-feu. Grâce aux mises à jour groupées, le pare-feu Cloud nouvelle génération vous offre un moyen efficace et gérable de gérer les mises à jour des règles de stratégie de pare-feu dans vos environnements cloud.

Pour en savoir plus sur la configuration de la mise à jour par lot, consultez la section Configurer les mises à jour groupées des règles de stratégie de pare-feu.

Autorisations

Assurez-vous de disposer des autorisations suivantes pour mettre à jour les règles de stratégie de pare-feu de manière groupée.

L'autorisation compute.firewallPolicies.get pour exporter les règles de stratégie de pare-feu hiérarchique
L'autorisation compute.firewallPolicies.update pour importer les règles de stratégie de pare-feu hiérarchique
L'autorisation compute.firewallPolicies.get pour exporter les règles de stratégie de pare-feu réseau.
L'autorisation compute.regionFirewallPolicies.get pour exporter des règles de stratégie de pare-feu réseau régionales.
L'autorisation compute.firewallPolicies.update pour importer les règles de stratégie de pare-feu réseau
L'autorisation compute.regionFirewallPolicies.update pour importer les règles de stratégie de pare-feu réseau régionale.

Pour en savoir plus sur les rôles et les autorisations, consultez la page Rôles Compute Engine.

Spécification

La mise à jour groupée des règles de stratégie de pare-feu présente les spécifications suivantes:

Le processus de mise à jour est atomique. Cela signifie que si une erreur se produit pendant l'importation des règles, toutes les modifications sont annulées et votre règle de stratégie de pare-feu reste dans son état précédent.
Lorsque vous utilisez les API REST pour mettre à jour des règles de stratégie de pare-feu, les API REST nécessitent une empreinte pour un verrouillage optimal. Pour en savoir plus, consultez la section Contrôle de simultanéité optimal. Pour obtenir la dernière empreinte numérique, nous vous recommandons d'envoyer d'abord une requête get à la stratégie de pare-feu. Une requête get adressée à la stratégie de pare-feu obtient la version la plus récente de la stratégie, ce qui permet de garantir que les mises à jour sont basées sur la version la plus récente de la stratégie. Cela permet d'éviter les conflits en cas de modifications simultanées apportées à la règle.
Lorsque vous utilisez la méthode patch de l'API REST, vous pouvez remplacer toutes les règles existantes en fournissant une liste entièrement nouvelle dans votre requête.
Si une opération de stratégie de pare-feu patch est en cours, vous ne pouvez pas modifier les règles à l'aide de méthodes telles que addRule, patchRule, removeRule ou cloneRules. Cela permet de s'assurer qu'il n'y a pas de modifications incompatibles pendant l'opération d'application de correctifs.

Configurer la mise à jour groupée

Le processus de mise à jour groupée comprend trois étapes clés:

Exporter: exportez vos règles de stratégie de pare-feu actuelles.
Modifier: effectuez les mises à jour groupées requises sur les règles de stratégie de pare-feu exportées.
Importer: réimportez le fichier modifié dans les règles de stratégie de pare-feu.

Pour configurer la mise à jour groupée des règles de stratégie de pare-feu, procédez comme suit:

Exportez vos règles de stratégie de pare-feu. Pour en savoir plus, consultez la section Exporter la règle de stratégie de pare-feu.
Modifiez le fichier exporté. Pour mettre à jour le fichier, procédez comme suit:
- Ajoutez de nouvelles règles: assurez-vous que chaque nouvelle règle respecte le schéma FirewallPolicyRule.yaml.
- Modifier les règles existantes: modifiez les attributs des règles que vous souhaitez mettre à jour. Ces attributs incluent l'action, la description et les conditions de correspondance en fonction desquelles le trafic entrant est évalué.
- Supprimer les règles: supprimez les entrées des règles de stratégie de pare-feu que vous souhaitez supprimer.
Pour en savoir plus, consultez la page Modifier les règles de stratégie de pare-feu.
Importez les règles dans votre stratégie de pare-feu. Pour en savoir plus, consultez la page Importer des règles de stratégie de pare-feu.

Étape suivante

Pour en savoir plus sur les règles de pare-feu, consultez la page Règles de stratégie de pare-feu.
Pour savoir comment configurer les mises à jour groupées des règles de stratégie de pare-feu, consultez la section Configurer les mises à jour groupées pour les stratégies de pare-feu.