Visão geral

Use uma única solicitação da Google Cloud CLI ou da API Compute Engine para atualizar em lote todas as regras de política de firewall hierárquicas e de firewall de rede. Isso garante a integridade do conjunto de regras da política de firewall. Com as atualizações em lote, o Cloud Next Generation Firewall oferece uma maneira eficiente e gerenciável de lidar com atualizações de regras de políticas de firewall nos seus ambientes de nuvem.

Para mais informações sobre como configurar a atualização em lote, consulte Configurar atualizações em lote para regras da política de firewall.

Permissões

Verifique se você tem as seguintes permissões para atualizar em lote as regras da política de firewall.

  • A permissão compute.firewallPolicies.get para exportar as regras de política de firewall hierárquicas.
  • A permissão compute.firewallPolicies.update para importar as regras de política de firewall hierárquicas.
  • A permissão compute.firewallPolicies.get para exportar as regras da política de firewall de rede.
  • A permissão compute.regionFirewallPolicies.get para exportar regras de política de firewall de rede regional.
  • A permissão compute.firewallPolicies.update para importar as regras da política de firewall de rede.
  • A permissão compute.regionFirewallPolicies.update para importar as regras da política de firewall de rede regional.

Para mais informações sobre papéis e permissões, consulte Papéis do Compute Engine.

Especificação

A atualização em lote de regras da política de firewall tem as seguintes especificações:

  • O processo de atualização é atômico. Isso significa que, se ocorrer um erro durante a importação das regras, todas as mudanças serão revertidas, e a regra da política de firewall vai permanecer no estado anterior.

  • Quando você usa as APIs REST para atualizar regras de política de firewall, elas exigem uma impressão digital para bloqueio otimista. Para mais informações, consulte Controle de simultaneidade otimista. Para receber a impressão digital mais recente, recomendamos que você faça primeiro uma solicitação get à política de firewall. Uma solicitação get à política de firewall recebe a versão mais recente da política, o que ajuda a garantir que as atualizações sejam baseadas na versão mais recente da política. Isso ajuda a evitar conflitos se modificações simultâneas forem feitas na política.

  • Ao usar o método patch da API REST, você pode substituir todas as regras atuais fornecendo uma lista completamente nova na sua solicitação.

  • Se uma operação de política de firewall patch estiver em andamento, não será possível modificar regras usando métodos como addRule, patchRule, removeRule ou cloneRules. Isso ajuda a garantir que não haja modificações conflitantes durante a operação de patch.

Configurar atualização em lote

O processo de atualização em lote envolve três etapas principais:

  1. Exportar: exporte suas regras atuais da política de firewall.
  2. Modificar: faça as atualizações em lote necessárias nas regras da política de firewall exportada.
  3. Importar: importe o arquivo modificado de volta para as regras da política de firewall.

Para configurar a atualização em lote das regras da política de firewall, faça o seguinte:

  1. Exporte as regras da política de firewall. Para mais informações, consulte Exportar regra de política de firewall.

  2. Modifique o arquivo exportado. Siga estas etapas para atualizar o arquivo:

    • Adicionar novas regras: verifique se cada nova regra segue o esquema FirewallPolicyRule.yaml.

    • Modificar regras atuais: mude os atributos das regras que você quer atualizar. Esses atributos incluem a ação, a descrição e as condições de correspondência em relação às quais o tráfego de entrada é avaliado.

    • Excluir regras: remova as entradas das regras da política de firewall que você quer excluir.

    Para mais informações, consulte Modificar regras da política de firewall.

  3. Importe as regras de volta para sua política de firewall. Para mais informações, consulte Importar regras de política de firewall.

A seguir