Mengonfigurasi update batch ke aturan kebijakan firewall

Halaman ini menjelaskan cara mengonfigurasi update batch untuk semua aturan kebijakan firewall (kebijakan firewall hierarkis dan jaringan). Untuk melakukan update batch, Anda dapat menggunakan Google Cloud CLI atau Compute Engine API.

Untuk informasi selengkapnya tentang update batch, lihat Ringkasan.

Jika Anda menggunakan gcloud CLI untuk mengupdate aturan kebijakan firewall secara massal, gunakan perintah gcloud CLI berikut:

  • export-rules: memungkinkan Anda mengekspor konfigurasi aturan kebijakan firewall ke file YAML. Dalam file YAML, Anda dapat menambahkan, mengubah, dan menghapus konfigurasi aturan kebijakan firewall sesuai dengan persyaratan Anda.

  • import-rules: memungkinkan Anda mengimpor file konfigurasi aturan kebijakan firewall yang diubah. Tindakan ini akan menggantikan aturan yang ada dari kebijakan firewall yang ditentukan.

Jika Anda menggunakan REST API untuk memperbarui aturan kebijakan firewall secara massal, gunakan metode patch. Dengan metode patch, Anda dapat mengganti semua aturan dalam kebijakan firewall dengan memberikan kolom rules dalam permintaan; Anda tidak perlu membuat file YAML. Saat menggunakan metode patch, pertahankan aturan goto_next default dengan prioritas terendah.

Sebelum memulai

Siapkan autentikasi jika Anda belum melakukannya. Autentikasi adalah proses yang digunakan untuk memverifikasi identitas Anda agar dapat mengakses layanan dan API Trusted Cloud by S3NS . Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke Compute Engine seperti yang dijelaskan di bagian ini.

Konsol

Saat menggunakan Trusted Cloud konsol untuk mengakses Trusted Cloud by S3NS layanan dan API, Anda tidak perlu menyiapkan autentikasi.

gcloud

  1. Setelah menginstal Google Cloud CLI, lakukan inisialisasi dengan menjalankan perintah berikut:

    
gcloud init

    Jika menggunakan penyedia identitas (IdP) eksternal, Anda harus terlebih dahulu login ke gcloud CLI dengan identitas gabungan Anda.

  2. Tetapkan region dan zona default di klien lokal Anda.

REST

Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, Anda menggunakan kredensial yang Anda berikan ke gcloud CLI.

Setelah menginstal Google Cloud CLI, lakukan inisialisasi dengan menjalankan perintah berikut:


gcloud init

Jika menggunakan penyedia identitas (IdP) eksternal, Anda harus terlebih dahulu login ke gcloud CLI dengan identitas gabungan Anda.

Untuk informasi selengkapnya, lihat Melakukan autentikasi untuk menggunakan REST dalam dokumentasi autentikasiTrusted Cloud by S3NS .

Membuat file YAML

Anda dapat menggunakan perintah export-rules untuk mengekspor aturan kebijakan firewall yang ada ke file YAML. Untuk mengetahui informasi selengkapnya, lihat Mengekspor aturan kebijakan firewall. File YAML yang diekspor menyertakan aturan goto_next default dengan prioritas terendah (aturan dengan prioritas lebih besar dari atau sama dengan 2147483644), pastikan Anda tidak mengubah aturan goto_next default ini.

Namun, jika tidak ingin menggunakan perintah export-rules, Anda juga dapat membuat file YAML baru secara manual untuk mengedit aturan. Untuk membuat file YAML baru secara manual, lakukan hal berikut:

  1. Buat file YAML RULES_YAML_FILE. Ganti RULES_YAML_FILE dengan nama file pilihan Anda.

  2. Tambahkan kolom rules ke file YAML. Kolom rules berisi daftar aturan kebijakan firewall Anda. Untuk skema yang menjelaskan format ekspor atau impor, lihat CLOUDSDKROOT/lib/googlecloudsdk/schemas/compute/beta/FirewallPolicy.yaml. Dengan CLOUDSDKROOT adalah direktori penginstalan Google Cloud CLI.

    Berikut adalah contoh skema YAML.

        rules:
    -action: deny
     description:
     priority: 1
     disabled: false
     enable-logging: false
     kind: compute#firewallPolicyRule
     ...
    -action: goto_next
     priority: 2
     disabled: false
     enable-logging: false
     ...

    Untuk mengubah aturan kebijakan firewall, lihat Mengubah aturan kebijakan firewall.

Mengekspor aturan kebijakan firewall

Anda dapat memulai pembaruan menggunakan gcloud CLI atau Compute Engine API.

Mengekspor kebijakan firewall hierarkis

Mengekspor aturan kebijakan firewall dari kebijakan firewall hierarkis.

gcloud

Untuk mengekspor aturan dari kebijakan firewall hierarkis, gunakan perintah gcloud compute firewall-policies export-rules:

gcloud compute firewall-policies export-rules FIREWALL_POLICY \
    --destination=DESTINATION \
    --organization=ORGANIZATION

Ganti kode berikut:

  • FIREWALL_POLICY: nama singkat atau ID kebijakan firewall hierarkis untuk mengekspor aturan dari
  • DESTINATION: jalur ke file YAML tempat konfigurasi akan diekspor
  • ORGANIZATION: organisasi tempat kebijakan firewall organisasi akan diperbarui. Harus ditetapkan jika FIREWALL_POLICY adalah nama pendek

API

Untuk mengekspor aturan yang ada dari kebijakan firewall hierarkis, gunakan metode firewallPolicies.get di Compute Engine API:

  GET https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME

Ganti kode berikut:

Mengekspor kebijakan firewall jaringan

Mengekspor aturan firewall dari kebijakan firewall jaringan.

gcloud

Untuk mengekspor konfigurasi aturan kebijakan firewall jaringan ke file, gunakan perintah gcloud compute network-firewall-policies export-rules:

gcloud compute network-firewall-policies export-rules FIREWALL_POLICY \
    --destination=RULES_YAML_FILE_PATH \
    --global | --region=REGION

Ganti kode berikut:

  • FIREWALL_POLICY: nama kebijakan firewall jaringan untuk mengekspor aturan
  • RULES_YAML_FILE_PATH: jalur ke file YAML tempat konfigurasi diekspor
  • REGION: tentukan --global jika kebijakan bersifat global atau REGION jika kebijakan bersifat regional.

API

Untuk mengekspor aturan yang ada dari kebijakan firewall jaringan global, gunakan metode networkFirewallPolicies.get di Compute Engine API:

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicies/FIREWALL_POLICY_NAME

Ganti kode berikut:

  • PROJECT: ID project Anda
  • FIREWALL_POLICY_NAME: nama kebijakan firewall yang ingin Anda ekspor

Untuk mengekspor aturan yang ada dari kebijakan firewall jaringan regional, gunakan metode regionNetworkFirewallPolicies.get di Compute Engine API:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME

Ganti kode berikut:

  • PROJECT: ID project Anda
  • REGION: region aturan kebijakan firewall
  • FIREWALL_POLICY_NAME: nama kebijakan firewall yang ingin Anda ekspor

Permintaan ini menampilkan definisi resource kebijakan firewall.

Mengubah aturan kebijakan firewall

Ubah aturan kebijakan firewall yang Anda ekspor di bagian sebelumnya.

  1. Buka file yang diekspor. Misalnya, RULES_YAML_FILE.

  2. Tambahkan kolom rules seperti yang ditunjukkan dalam contoh berikut.

        rules:
     -action: allow
      description: test-rule1
      direction: INGRESS
      disabled: false
      enableLogging: false
      kind: compute#firewallPolicyRule

  3. Tambahkan kolom konfigurasi tambahan seperti action, direction, dan priority. Berikut adalah contoh file YAML dasar.

        rules:
     -action: allow
      description: test-rule1
      direction: INGRESS
      disabled: false
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -192.0.2.0/24
      priority: 1
      ruleTupleCount: 2
     -action: goto_next
      description: default egress rule
      direction: EGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        destIpRanges:
        -::/0
        layer4Configs:
        -ipProtocol: all
      priority: 2147483644
      ruleTupleCount: 2
     -action: goto_next
      description: default ingress rule
      direction: INGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -::/0
      priority: 2147483645
      ruleTupleCount: 2
     -action: goto_next
      description: default egress rule
      direction: EGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        destIpRanges:
        -198.51.100.0/24
        layer4Configs:
        -ipProtocol: all
      priority: 2147483646
      ruleTupleCount: 2
     -action: goto_next
      description: default ingress rule
      direction: INGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -192.0.2.0/24
      priority: 2147483647
      ruleTupleCount: 2

Mengimpor aturan kebijakan firewall

Impor aturan ke kebijakan firewall setelah mengubah file dengan update batch yang diperlukan. Mengimpor file yang dimodifikasi akan mengganti aturan kebijakan firewall yang ada dengan aturan yang disediakan.

Mengimpor aturan kebijakan firewall hierarkis

Mengimpor aturan firewall ke kebijakan firewall hierarkis.

gcloud

Untuk mengimpor aturan ke kebijakan firewall hierarkis, gunakan perintah gcloud compute firewall-policies import-rules:

gcloud compute firewall-policies import-rules FIREWALL_POLICY \
    --source=RULES_YAML_FILE_PATH \
    --organization=ORGANIZATION

Ganti kode berikut:

  • FIREWALL_POLICY: nama pendek atau ID kebijakan firewall hierarkis yang akan diperbarui
  • RULES_YAML_FILE_PATH: jalur ke file YAML tempat aturan akan diimpor
  • ORGANIZATION: organisasi tempat kebijakan firewall organisasi akan diperbarui. Harus ditetapkan jika FIREWALL_POLICY adalah nama singkat.

API

Untuk mengimpor aturan kebijakan firewall, gunakan metode firewallPolicies.patch di Compute Engine API:

  PATCH https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME

Ganti kode berikut:

Mengimpor kebijakan firewall jaringan

Impor file YAML aturan firewall yang dimodifikasi ke kebijakan firewall jaringan.

gcloud

Untuk mengimpor aturan ke kebijakan firewall jaringan, gunakan perintah gcloud compute network-firewall-policies import-rules:

gcloud compute network-firewall-policies import-rules FIREWALL_POLICY \
    --source=RULES_YAML_FILE_PATH \
    --global | --region=REGION

Ganti kode berikut:

  • FIREWALL_POLICY: nama kebijakan firewall jaringan yang akan diperbarui
  • RULES_YAML_FILE_PATH: jalur yang dipilih untuk mengimpor aturan
  • REGION: tentukan --global jika kebijakan bersifat global atauREGION jika kebijakan bersifat regional.

API

Untuk mengimpor aturan kebijakan firewall jaringan yang diubah, gunakan metode networkFirewallPolicies.patch di Compute Engine API:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicy/FIREWALL_POLICY_NAME

Ganti kode berikut:

  • PROJECT: project ID aturan kebijakan firewall jaringan
  • FIREWALL_POLICY_NAME: nama kebijakan firewall jaringan yang ingin Anda ekspor

Untuk mengimpor aturan kebijakan firewall jaringan regional yang diubah, gunakan metode regionNetworkFirewallPolicies.patch di Compute Engine API:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME

Ganti kode berikut:

  • PROJECT: project ID aturan kebijakan firewall jaringan regional
  • REGION: region aturan kebijakan firewall

  • FIREWALL_POLICY_NAME: nama kebijakan firewall yang ingin Anda ekspor

    Permintaan ini menampilkan definisi resource kebijakan firewall jaringan.

Langkah berikutnya