É possível usar uma única solicitação da CLI do Google Cloud ou da API Compute Engine para atualizar em lote todas as regras de política de firewall para políticas hierárquicas e de firewall de rede. Isso garante a integridade do conjunto de regras da política de firewall. Usando as atualizações em lote, o Cloud Next Generation Firewall oferece uma maneira eficiente e gerenciável de lidar com as atualizações de regras de políticas de firewall nos seus ambientes de nuvem.
Para mais informações sobre como configurar a atualização em lote, consulte Configurar atualizações em lote para regras de política de firewall.
Permissões
Verifique se você tem as permissões a seguir para atualizar em lote as regras da política de firewall.
- a permissão
compute.firewallPolicies.getpara exportar as regras da política hierárquica de firewall. - a permissão
compute.firewallPolicies.updatepara importar as regras da política hierárquica de firewall. - a permissão
compute.firewallPolicies.getpara exportar as regras de política de firewall da rede; - a permissão
compute.regionFirewallPolicies.getpara exportar regras da política de firewall de rede regional - a permissão
compute.firewallPolicies.updatepara importar as regras de política de firewall da rede; - a permissão
compute.regionFirewallPolicies.updatepara importar as regras da política de firewall de rede regional
Para mais informações sobre os papéis e permissões, consulte Papéis do Compute Engine.
Especificação
A atualização em lote das regras de política de firewall tem as seguintes especificações:
O processo de atualização é atômico. Isso significa que, se ocorrer um erro enquanto as regras estiverem sendo importadas, todas as alterações serão revertidas e a regra da política de firewall permanecerá no estado anterior.
Quando você usa as APIs REST para atualizar as regras da política de firewall, elas exigem uma impressão digital para bloqueio otimista. Para mais informações, consulte Controle de simultaneidade otimista. Para conseguir a impressão digital mais recente, recomendamos primeiro fazer uma solicitação
getpara a política de firewall. Uma solicitaçãogetpara a política de firewall recebe a versão mais recente da política, o que ajuda a garantir que as atualizações sejam baseadas na versão mais recente da política. Isso ajuda a evitar conflitos se modificações simultâneas forem feitas na política.Ao usar o método
patchda API REST, é possível substituir todas as regras existentes fornecendo uma lista completamente nova na sua solicitação.Se uma operação de política de firewall
patchestiver em andamento, não será possível modificar regras usando métodos comoaddRule,patchRule,removeRuleoucloneRules. Isso ajuda a garantir que não haja modificações conflitantes durante a operação de patch.
Configurar atualização em lote
O processo de atualização em lote envolve três etapas principais:
- Exportar: exporte as regras da política de firewall atual.
- Modificar: faça as atualizações em lote necessárias nas regras da política de firewall exportadas.
- Importar: importe o arquivo modificado de volta para as regras da política de firewall.
Para configurar a atualização em lote das regras de política de firewall, faça o seguinte:
Exporte as regras da política de firewall. Para mais informações, consulte Exportar regra da política de firewall.
Modifique o arquivo exportado. Siga as etapas abaixo para atualizar o arquivo:
Adicionar novas regras: verifique se cada nova regra segue o esquema
FirewallPolicyRule.yaml.Modificar regras atuais: altere os atributos das regras que você quer atualizar. Esses atributos incluem ação, descrição e condições de correspondência em relação às quais o tráfego de entrada é avaliado.
Excluir regras: remova as entradas das regras de política de firewall que você quer excluir.
Para mais informações, consulte Modificar regras da política de firewall.
Importe as regras de volta para a política de firewall. Para mais informações, consulte Importar regras da política de firewall.
A seguir
- Para uma introdução às regras de firewall, consulte Regras de política de firewall.
- Saiba como configurar atualizações em lote para regras de política de firewall em Configurar atualizações em lote para políticas de firewall.