このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

概要

Google Cloud CLI または Compute Engine API から単一のリクエストを使用して、階層型ファイアウォールポリシーとネットワークファイアウォールポリシーのすべてのファイアウォールポリシールールをバッチ更新できます。これにより、ファイアウォールポリシーのルールセットの整合性が確保されます。バッチ更新を使用すると、Cloud Next Generation Firewall は、クラウド環境でファイアウォールポリシールールの更新を処理するための効率的で管理しやすい方法を提供します。

バッチ更新の構成方法の詳細については、ファイアウォールポリシールールのバッチ更新を構成するをご覧ください。

権限

ファイアウォールポリシールールを一括更新するには、次の権限があることを確認します。

階層型ファイアウォールポリシールールをエクスポートする compute.firewallPolicies.get 権限。
階層型ファイアウォールポリシールールをインポートする compute.firewallPolicies.update 権限。
ネットワークファイアウォールポリシールールをエクスポートする compute.firewallPolicies.get 権限。
リージョンネットワークファイアウォールポリシールールをエクスポートする compute.regionFirewallPolicies.get 権限。
ネットワークファイアウォールポリシールールをインポートする compute.firewallPolicies.update 権限。
リージョンネットワークファイアウォールポリシールールをインポートする compute.regionFirewallPolicies.update 権限。

ロールと権限の詳細については、Compute Engine のロールをご覧ください。

仕様

ファイアウォールポリシールールの一括更新には、次の仕様があります。

更新プロセスはアトミックです。つまり、ルールのインポート中にエラーが発生すると、すべての変更がロールバックされ、ファイアウォールポリシールールは以前の状態のままになります。
REST API を使用してファイアウォールポリシールールを更新する場合、REST API には楽観的ロックのフィンガープリントが必要です。詳細については、楽観的同時実行制御をご覧ください。最新のフィンガープリントを取得するには、まずファイアウォールポリシーに get リクエストを行うことをおすすめします。ファイアウォールポリシーに対する get リクエストは、ポリシーの最新バージョンを取得します。これにより、更新がポリシーの最新バージョンに基づいて行われるようになります。これにより、ポリシーが同時に変更された場合の競合を防ぐことができます。
REST API の patch メソッドを使用すると、リクエストで完全に新しいリストを指定して、既存のすべてのルールを置き換えることができます。
ファイアウォールポリシーの patch オペレーションが進行中の場合、addRule、patchRule、removeRule、cloneRules などのメソッドを使用してルールを変更することはできません。これにより、パッチオペレーション中に競合する変更が発生しないようにします。

バッチ更新を構成する

バッチ更新プロセスには、次の 3 つの主要なステップがあります。

エクスポート: 現在のファイアウォールポリシールールをエクスポートします。
変更: エクスポートされたファイアウォールポリシールールに必要な一括更新を行います。
インポート: 変更したファイルをファイアウォールポリシールールに再度インポートします。

ファイアウォールポリシールールのバッチ更新を構成する手順は次のとおりです。

ファイアウォールポリシールールをエクスポートします。詳細については、ファイアウォールポリシールールをエクスポートするをご覧ください。
エクスポートしたファイルを変更します。ファイルを更新する手順は次のとおりです。
- 新しいルールを追加する: 新しい各ルールが FirewallPolicyRule.yaml スキーマに準拠していることを確認します。
- 既存のルールを変更する: 更新するルールの属性を変更します。これらの属性には、アクション、説明、受信トラフィックの評価に使用される一致条件が含まれます。
- ルールを削除: 削除するファイアウォールポリシールールのエントリを削除します。
詳細については、ファイアウォールポリシールールを変更するをご覧ください。
ルールをファイアウォールポリシーにインポートします。詳細については、ファイアウォールポリシールールをインポートするをご覧ください。

次のステップ

ファイアウォールルールの概要については、ファイアウォールポリシールールのコンポーネントをご覧ください。
ファイアウォールポリシールールのバッチ更新を構成する方法については、ファイアウォールポリシーのバッチ更新を構成するをご覧ください。