Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Panoramica

Puoi utilizzare una singola richiesta da Google Cloud CLI o dall'API Compute Engine per aggiornare in batch tutte le regole delle policy firewall per le policy firewall gerarchiche e di rete. In questo modo viene garantita l'integrità del set di regole del criterio firewall. Utilizzando gli aggiornamenti batch, Cloud Next Generation Firewall offre un modo efficiente e gestibile per gestire gli aggiornamenti delle regole delle policy firewall nei tuoi ambienti cloud.

Per saperne di più su come configurare l'aggiornamento batch, consulta Configura gli aggiornamenti batch per le regole delle policy firewall.

Autorizzazioni

Assicurati di disporre delle seguenti autorizzazioni per aggiornare in batch le regole dei criteri firewall.

L'autorizzazione compute.firewallPolicies.get per esportare le regole della policy firewall gerarchica.
L'autorizzazione compute.firewallPolicies.update per importare le regole del criterio firewall gerarchico.
L'autorizzazione compute.firewallPolicies.get per esportare le regole dei criteri firewall di rete.
L'autorizzazione compute.regionFirewallPolicies.get per esportare le regole dei criteri firewall di rete regionali.
L'autorizzazione compute.firewallPolicies.update per importare le regole dei criteri firewall di rete.
L'autorizzazione compute.regionFirewallPolicies.update per importare le regole dei criteri firewall di rete regionali.

Per saperne di più sui ruoli e sulle autorizzazioni, consulta Ruoli di Compute Engine.

Specifica

L'aggiornamento batch delle regole delle policy del firewall presenta le seguenti specifiche:

La procedura di aggiornamento è atomica. Ciò significa che se si verifica un errore durante l'importazione delle regole, tutte le modifiche vengono annullate e la regola del criterio del firewall rimane nello stato precedente.
Quando utilizzi le API REST per aggiornare le regole dei criteri firewall, le API REST richiedono un'impronta per il blocco ottimistico. Per saperne di più, consulta Controllo della concorrenza ottimistico. Per ottenere l'ultima impronta, ti consigliamo di inviare prima una richiesta get al criterio firewall. Una richiesta get al criterio firewall riceve la versione più recente del criterio, il che contribuisce a garantire che gli aggiornamenti si basino sulla versione più recente del criterio. In questo modo si evitano conflitti se vengono apportate modifiche simultanee alla policy.
Quando utilizzi il metodo patch dell'API REST, puoi sostituire tutte le regole esistenti fornendo un elenco completamente nuovo nella richiesta.
Se è in corso un'operazione patch della policy firewall, non puoi modificare le regole utilizzando metodi come addRule, patchRule, removeRule o cloneRules. In questo modo, si garantisce che non vi siano modifiche in conflitto durante l'operazione di applicazione della patch.

Configurare l'aggiornamento batch

Il processo di aggiornamento batch prevede tre passaggi chiave:

Esporta: esporta le regole dei criteri firewall correnti.
Modifica: apporta gli aggiornamenti batch richiesti alle regole della policy firewall esportata.
Importa: importa il file modificato nelle regole del criterio firewall.

Per configurare l'aggiornamento batch delle regole delle policy del firewall:

Esporta le regole delle policy firewall. Per saperne di più, consulta Esporta la regola del criterio firewall.
Modifica il file esportato. Per aggiornare il file, segui questi passaggi:
- Aggiungi nuove regole: assicurati che ogni nuova regola rispetti lo schema FirewallPolicyRule.yaml.
- Modifica le regole esistenti: cambia gli attributi delle regole che vuoi aggiornare. Questi attributi includono l'azione, la descrizione e le condizioni di corrispondenza in base alle quali viene valutato il traffico in entrata.
- Elimina regole: rimuovi le voci per le regole delle policy del firewall che vuoi eliminare.
Per saperne di più, consulta Modificare le regole dei criteri firewall.
Importa di nuovo le regole nella policy firewall. Per saperne di più, consulta Importa le regole delle policy firewall.

Passaggi successivi

Per un'introduzione alle regole firewall, consulta Componenti delle regole dei criteri firewall.
Per scoprire come configurare gli aggiornamenti batch alle regole delle policy del firewall, vedi Configurare gli aggiornamenti batch per le policy del firewall.