En esta página, se explica cómo configurar la actualización por lotes para todas las reglas de políticas de firewall (políticas de firewall jerárquicas y de red). Para realizar la actualización por lotes, puedes usar la Google Cloud CLI o la API de Compute Engine.
Para obtener más información sobre las actualizaciones por lotes, consulta la Descripción general.
Si usas gcloud CLI para actualizar por lotes las reglas de la política de firewall, usa los siguientes comandos de gcloud CLI:
export-rules: Te permite exportar la configuración de las reglas de la política de firewall a un archivo YAML. En el archivo YAML, puedes agregar, modificar y quitar la configuración de las reglas de la política de firewall según tus requisitos.import-rules: Te permite importar el archivo de configuración de las reglas de la política de firewall modificadas. Esto reemplaza las reglas existentes de la política de firewall especificada.
Si usas APIs de REST para actualizar por lotes las reglas de la política de firewall, usa el método patch. El método patch te permite reemplazar todas las reglas de la política de firewall. Para ello, debes proporcionar el campo rules en la solicitud. No es necesario que crees un archivo YAML. Cuando uses el método patch, conserva las reglas goto_next predeterminadas con la prioridad más baja.
Antes de comenzar
Configura la autenticación si aún no lo hiciste. La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las APIs de Cloud de Confiance by S3NS . Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine como se describe en esta sección.
Console
Cuando usas la consola de Cloud de Confiance para acceder a los servicios y las APIs de Cloud de Confiance by S3NS , no necesitas configurar la autenticación.
gcloud
Después de instalar Google Cloud CLI, inicialízala ejecutando el siguiente comando:
gcloud init
Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.
Establece la región y la zona predeterminadas en tu cliente local.
REST
Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a gcloud CLI.
Después de instalar Google Cloud CLI, inicialízala ejecutando el siguiente comando:
gcloud init
Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.
Para obtener más información, consulta Autentícate para usar REST en la documentación de autenticación deCloud de Confiance by S3NS .
Crea un archivo YAML
Puedes usar el comando export-rules para exportar las reglas de políticas de firewall existentes a un archivo YAML. Para obtener más información, consulta Cómo exportar una regla de política de firewall.
El archivo YAML exportado incluye las reglas goto_next predeterminadas con la prioridad más baja (reglas con prioridad mayor o igual a 2147483644). Asegúrate de no modificar estas reglas goto_next predeterminadas.
Sin embargo, si no quieres usar el comando export-rules, también puedes crear un archivo YAML nuevo de forma manual para editar las reglas. Para crear un archivo YAML nuevo de forma manual, haz lo siguiente:
Crea un archivo YAML
RULES_YAML_FILE. ReemplazaRULES_YAML_FILEpor una contraseña de tu elección.Agrega el campo
rulesal archivo YAML. El camporulescontiene una lista de las reglas de tu política de firewall. Para obtener un esquema que describa el formato de importación o exportación, consultaCLOUDSDKROOT/lib/googlecloudsdk/schemas/compute/beta/FirewallPolicy.yaml. AquíCLOUDSDKROOTes el directorio de instalación de Google Cloud CLI.A continuación, se muestra un ejemplo de un esquema YAML.
rules: -action: deny description: priority: 1 disabled: false enable-logging: false kind: compute#firewallPolicyRule ... -action: goto_next priority: 2 disabled: false enable-logging: false ...Para modificar las reglas de políticas de firewall, consulta Cómo modificar reglas de políticas de firewall.
Exporta una regla de política de firewall
Puedes iniciar actualizaciones mediante la CLI de gcloud o la API de Compute Engine.
Exporta la política de firewall jerárquica
Exporta las reglas de la política de firewall de la política de firewall jerárquica.
gcloud
Para exportar reglas de la política de firewall jerárquica, usa el comando gcloud compute firewall-policies export-rules:
gcloud compute firewall-policies export-rules FIREWALL_POLICY \
--destination=DESTINATION \
--organization=ORGANIZATION
Reemplaza lo siguiente:
FIREWALL_POLICY: Es el nombre corto o el ID de tu política de firewall jerárquica desde la que se exportarán las reglas.DESTINATION: Es la ruta de acceso a un archivo YAML en el que se exportará la configuración.ORGANIZATION: Es la organización en la que se actualizará la política de firewall de la organización. Se debe establecer siFIREWALL_POLICYes un nombre corto.
API
Para exportar las reglas existentes de la política de firewall jerárquica, usa el método firewallPolicies.get en la API de Compute Engine:
GET https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME
Reemplaza lo siguiente:
FIREWALL_POLICY_NAME: Es el nombre de la política de firewall que deseas exportar.Esta solicitud devuelve una definición de recurso de política de firewall.
Exporta la política de firewall de red
Exporta reglas de firewall desde la política de firewall de red.
gcloud
Para exportar la configuración de las reglas de la política de firewall de red a un archivo, usa el comando gcloud compute network-firewall-policies export-rules:
gcloud compute network-firewall-policies export-rules FIREWALL_POLICY \
--destination=RULES_YAML_FILE_PATH \
--global | --region=REGION
Reemplaza lo siguiente:
FIREWALL_POLICY: Es el nombre de la política de firewall de red desde la que se exportarán las reglas.RULES_YAML_FILE_PATH: Ruta de acceso a un archivo YAML en el que se exporta la configuraciónREGION: Especifica--globalsi es una política global oREGIONsi es una política regional.
API
Para exportar las reglas existentes de la política de firewall de red global, usa el método networkFirewallPolicies.get en la API de Compute Engine:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicies/FIREWALL_POLICY_NAME
Reemplaza lo siguiente:
PROJECT: Es el ID del proyecto.FIREWALL_POLICY_NAME: Es el nombre de la política de firewall que deseas exportar.
Para exportar las reglas existentes de la política de firewall de red regional, usa el método regionNetworkFirewallPolicies.get en la API de Compute Engine:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME
Reemplaza lo siguiente:
PROJECT: Es el ID del proyecto.REGION: Es la región de las reglas de la política de firewall.FIREWALL_POLICY_NAME: Es el nombre de la política de firewall que deseas exportar.
Esta solicitud devuelve una definición de recurso de política de firewall.
Modifica las reglas de la política de firewall
Modifica las reglas de la política de firewall que exportaste en la sección anterior.
Abre el archivo exportado. Por ejemplo,
RULES_YAML_FILE.Agrega el campo
rulescomo se muestra en el siguiente ejemplo.rules: -action: allow description: test-rule1 direction: INGRESS disabled: false enableLogging: false kind: compute#firewallPolicyRuleAgrega los campos de configuración adicionales, como
action,directionypriority. A continuación, se muestra un ejemplo de un archivo YAML básico.rules: -action: allow description: test-rule1 direction: INGRESS disabled: false enableLogging: false kind: compute#firewallPolicyRule match: layer4Configs: -ipProtocol: all srcIpRanges: -192.0.2.0/24 priority: 1 ruleTupleCount: 2 -action: goto_next description: default egress rule direction: EGRESS enableLogging: false kind: compute#firewallPolicyRule match: destIpRanges: -::/0 layer4Configs: -ipProtocol: all priority: 2147483644 ruleTupleCount: 2 -action: goto_next description: default ingress rule direction: INGRESS enableLogging: false kind: compute#firewallPolicyRule match: layer4Configs: -ipProtocol: all srcIpRanges: -::/0 priority: 2147483645 ruleTupleCount: 2 -action: goto_next description: default egress rule direction: EGRESS enableLogging: false kind: compute#firewallPolicyRule match: destIpRanges: -198.51.100.0/24 layer4Configs: -ipProtocol: all priority: 2147483646 ruleTupleCount: 2 -action: goto_next description: default ingress rule direction: INGRESS enableLogging: false kind: compute#firewallPolicyRule match: layer4Configs: -ipProtocol: all srcIpRanges: -192.0.2.0/24 priority: 2147483647 ruleTupleCount: 2
Importa reglas de política de firewall
Importa las reglas a tu política de firewall después de cambiar el archivo con las actualizaciones por lotes que necesites. Cuando importas el archivo modificado, se reemplazan las reglas de política de firewall existentes por las reglas proporcionadas.
Importa reglas de políticas de firewall jerárquicas
Importa reglas de firewall a la política de firewall jerárquica.
gcloud
Para importar reglas a la política de firewall jerárquica, usa el comando gcloud compute firewall-policies import-rules:
gcloud compute firewall-policies import-rules FIREWALL_POLICY \
--source=RULES_YAML_FILE_PATH \
--organization=ORGANIZATION
Reemplaza lo siguiente:
FIREWALL_POLICY: Es el nombre corto o el ID de la política de firewall jerárquica que deseas actualizar.RULES_YAML_FILE_PATH: Ruta de acceso al archivo YAML desde el que se importarán las reglasORGANIZATION: Es la organización en la que se actualizará la política de firewall de la organización. Se debe configurar siFIREWALL_POLICYes un nombre corto.
API
Para importar las reglas de la política de firewall, usa el método firewallPolicies.patch en la API de Compute Engine:
PATCH https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME
Reemplaza lo siguiente:
FIREWALL_POLICY_NAME: Es el nombre de la política de firewall que deseas exportar.Esta solicitud devuelve una definición de recurso de política de firewall.
Importa la política de firewall de red
Importa el archivo YAML de reglas de firewall modificado a la política de firewall de red.
gcloud
Para importar reglas a la política de firewall de red, usa el comando gcloud compute network-firewall-policies import-rules:
gcloud compute network-firewall-policies import-rules FIREWALL_POLICY \
--source=RULES_YAML_FILE_PATH \
--global | --region=REGION
Reemplaza lo siguiente:
FIREWALL_POLICY: Es el nombre de la política de firewall de red que deseas actualizar.RULES_YAML_FILE_PATH: Es la ruta de acceso elegida para importar las reglas.REGION: Especifica--globalsi es una política global oREGIONsi es una política regional.
API
Para importar las reglas modificadas de la política de firewall de red, usa el método networkFirewallPolicies.patch en la API de Compute Engine:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicy/FIREWALL_POLICY_NAME
Reemplaza lo siguiente:
PROJECT: Es el ID del proyecto de las reglas de la política de firewall de red.FIREWALL_POLICY_NAME: Es el nombre de la política de firewall de red que deseas exportar.
Para importar las reglas modificadas de la política de firewall de red regional, usa el método regionNetworkFirewallPolicies.patch en la API de Compute Engine:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME
Reemplaza lo siguiente:
PROJECT: Es el ID del proyecto de las reglas de la política de firewall de red regional.REGION: Es la región de las reglas de la política de firewall.FIREWALL_POLICY_NAME: Es el nombre de la política de firewall que deseas exportar.Esta solicitud devuelve una definición de recurso de política de firewall de red.
¿Qué sigue?
- Para obtener una introducción a las reglas de firewall, consulta Componentes de reglas de política de firewall.
- Para obtener una descripción general de la actualización por lotes de las reglas de políticas de firewall, consulta Descripción general.