您可以使用通过 Google Cloud CLI 或 Compute Engine API 发出的单个请求,批量更新层次防火墙政策和网络防火墙政策的所有防火墙政策规则。这样可确保防火墙政策的规则集的完整性。借助批量更新,Cloud Next Generation Firewall 可让您以高效且易于管理的方式处理云环境中的防火墙政策规则更新。
如需详细了解如何配置批量更新,请参阅配置防火墙政策规则的批量更新。
权限
确保您拥有以下权限,以便批量更新防火墙政策规则。
- 用于导出分层防火墙政策规则的
compute.firewallPolicies.get权限。 - 用于导入分层防火墙政策规则的
compute.firewallPolicies.update权限。 - 用于导出网络防火墙政策规则的
compute.firewallPolicies.get权限。 - 用于导出区域级网络防火墙政策规则的
compute.regionFirewallPolicies.get权限。 - 用于导入网络防火墙政策规则的
compute.firewallPolicies.update权限。 - 用于导入区域级网络防火墙政策规则的
compute.regionFirewallPolicies.update权限。
如需详细了解角色和权限,请参阅 Compute Engine 角色。
规范
批量更新防火墙政策规则具有以下规范:
更新过程是原子性的。这意味着,如果在导入规则时发生错误,系统会回滚所有更改,并且防火墙政策规则会保持之前的状态。
当您使用 REST API 更新防火墙政策规则时,REST API 需要指纹来实现乐观锁定。如需了解详情,请参阅乐观并发控制。 如需获取最新指纹,建议您先向防火墙政策发出
get请求。对防火墙政策的get请求会获取最新版本的政策,这有助于确保更新基于最新版本的政策。这有助于防止在同时修改政策时发生冲突。使用 REST API
patch方法时,您可以在请求中提供一个全新的列表,以替换所有现有规则。如果防火墙政策
patch操作正在进行中,您将无法使用addRule、patchRule、removeRule或cloneRules等方法修改规则。这有助于确保在修补操作期间不会发生冲突的修改。
配置批量更新
批量更新流程包含三个关键步骤:
- 导出:导出当前的防火墙政策规则。
- 修改:对导出的防火墙政策规则进行所需的批量更新。
- 导入:将修改后的文件重新导入到防火墙政策规则中。
如需配置防火墙政策规则的批量更新,请执行以下操作:
导出防火墙政策规则。如需了解详情,请参阅导出防火墙政策规则。
修改导出的文件。您可以按照以下步骤更新文件:
添加新规则:确保每条新规则都符合
FirewallPolicyRule.yaml架构。修改现有规则:更改要更新的规则的属性。这些属性包括操作、说明以及用于评估入站流量的匹配条件。
删除规则:移除要删除的防火墙政策规则的条目。
如需了解详情,请参阅修改防火墙政策规则。
将规则重新导入到防火墙政策中。如需了解详情,请参阅导入防火墙政策规则。
后续步骤
- 如需了解防火墙规则,请参阅防火墙政策规则组成部分。
- 如需了解如何为防火墙政策规则配置批量更新,请参阅为防火墙政策配置批量更新。