Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Aperçu

Vous pouvez utiliser une seule requête de la Google Cloud CLI ou de l'API Compute Engine pour mettre à jour par lot toutes les règles de stratégie de pare-feu pour les stratégies de pare-feu hiérarchiques et réseau. Cela garantit l'intégrité de l'ensemble de règles de la stratégie de pare-feu. Grâce aux mises à jour par lot, Cloud Next Generation Firewall vous permet de gérer efficacement les mises à jour des règles de stratégie de pare-feu dans vos environnements cloud.

Pour savoir comment configurer les mises à jour par lot, consultez Configurer les mises à jour par lot pour les règles de stratégie de pare-feu.

Autorisations

Assurez-vous de disposer des autorisations suivantes pour mettre à jour par lot les règles de stratégie de pare-feu.

Autorisation compute.firewallPolicies.get permettant d'exporter les règles de stratégie de pare-feu hiérarchiques.
Autorisation compute.firewallPolicies.update pour importer les règles de stratégie de pare-feu hiérarchiques.
L'autorisation compute.firewallPolicies.get pour exporter les règles de la stratégie de pare-feu réseau.
L'autorisation compute.regionFirewallPolicies.get pour exporter les règles de stratégie de pare-feu réseau régionales.
L'autorisation compute.firewallPolicies.update pour importer les règles de stratégie de pare-feu réseau.
L'autorisation compute.regionFirewallPolicies.update pour importer les règles de stratégie de pare-feu réseau régionales.

Pour en savoir plus sur les rôles et les autorisations, consultez Rôles Compute Engine.

Spécification

La mise à jour par lot des règles de stratégie de pare-feu obéit aux spécifications suivantes :

Le processus de mise à jour est atomique. Cela signifie que si une erreur se produit lors de l'importation des règles, toutes les modifications sont annulées et la règle de votre stratégie de pare-feu reste dans son état précédent.
Lorsque vous utilisez les API REST pour mettre à jour les règles des stratégies de pare-feu, elles nécessitent une empreinte digitale pour le verrouillage optimiste. Pour en savoir plus, consultez Contrôle de simultanéité optimiste. Pour obtenir la dernière empreinte, nous vous recommandons d'abord d'envoyer une requête get à la stratégie de pare-feu. Une requête get envoyée à la stratégie de pare-feu obtient la version la plus récente de la stratégie, ce qui permet de s'assurer que les mises à jour sont basées sur la version la plus récente de la stratégie. Cela permet d'éviter les conflits si des modifications simultanées sont apportées au règlement.
Lorsque vous utilisez la méthode patch de l'API REST, vous pouvez remplacer toutes les règles existantes en fournissant une liste entièrement nouvelle dans votre requête.
Si une opération patch de stratégie de pare-feu est en cours, vous ne pouvez pas modifier les règles à l'aide de méthodes telles que addRule, patchRule, removeRule ou cloneRules. Cela permet de s'assurer qu'aucune modification n'est en conflit pendant l'opération de correction.

Configurer la mise à jour par lot

Le processus de mise à jour par lot comporte trois étapes clés :

Exporter : exportez vos règles de stratégie de pare-feu actuelles.
Modifier : apportez les modifications groupées nécessaires aux règles de la stratégie de pare-feu exportée.
Importer : importez le fichier modifié dans les règles de la stratégie de pare-feu.

Pour configurer la mise à jour par lot des règles de stratégie de pare-feu, procédez comme suit :

Exportez les règles de votre stratégie de pare-feu. Pour en savoir plus, consultez Exporter une règle de stratégie de pare-feu.
Modifiez le fichier exporté. Pour mettre à jour le fichier, procédez comme suit :
- Ajouter des règles : assurez-vous que chaque nouvelle règle respecte le schéma FirewallPolicyRule.yaml.
- Modifier les règles existantes : modifiez les attributs des règles que vous souhaitez mettre à jour. Ces attributs incluent l'action, la description et les conditions de correspondance par rapport auxquelles le trafic entrant est évalué.
- Supprimer des règles : supprimez les entrées des règles de stratégie de pare-feu que vous souhaitez supprimer.
Pour en savoir plus, consultez Modifier les règles de stratégie de pare-feu.
Importez à nouveau les règles dans votre stratégie de pare-feu. Pour en savoir plus, consultez Importer des règles de stratégie de pare-feu.

Étapes suivantes

Pour une introduction aux règles de pare-feu, consultez Composants des règles de stratégie de pare-feu.
Pour apprendre à configurer les mises à jour par lot des règles de stratégie de pare-feu, consultez Configurer les mises à jour par lot pour les stratégies de pare-feu.