Configurare gli aggiornamenti batch delle regole dei criteri firewall

Questa pagina spiega come configurare l'aggiornamento batch per tutte le regole dei criteri firewall (criteri firewall gerarchici e di rete). Per eseguire l'aggiornamento batch, puoi utilizzare Google Cloud CLI o l'API Compute Engine.

Per ulteriori informazioni sugli aggiornamenti batch, consulta la panoramica.

Se utilizzi gcloud CLI per aggiornare in batch le regole della policy firewall, utilizza i seguenti comandi gcloud CLI:

  • export-rules: consente di esportare la configurazione delle regole della policy firewall in un file YAML. Nel file YAML puoi quindi aggiungere, modificare e rimuovere la configurazione delle regole dei criteri firewall in base ai tuoi requisiti.

  • import-rules: consente di importare il file di configurazione delle regole della policy firewall modificato. In questo modo le regole esistenti della policy firewall specificata vengono sostituite.

Se utilizzi le API REST per aggiornare in batch le regole dei criteri firewall, utilizza il metodo patch. Il metodo patch consente di sostituire tutte le regole nel criterio firewall fornendo il campo rules nella richiesta; non è necessario creare un file YAML. Quando utilizzi il metodo patch, mantieni le regole goto_next predefinite con la priorità più bassa.

Prima di iniziare

Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è il processo di verifica della tua identità per poter accedere a Cloud de Confiance by S3NS servizi e API. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine come descritto in questa sezione.

Console

Quando utilizzi la console Cloud de Confiance per accedere ai servizi Cloud de Confiance by S3NS e alle API, non devi configurare l'autenticazione.

gcloud

  1. Dopo aver installato Google Cloud CLI, inizializzala eseguendo il seguente comando:

    
gcloud init

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  2. Imposta la regione e la zona predefinite nel client locale.

REST

Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.

Dopo aver installato Google Cloud CLI, inizializzala eseguendo il seguente comando:


gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per saperne di più, consulta Autenticati per usare REST nella documentazione sull'autenticazione diCloud de Confiance by S3NS .

Crea un file YAML

Puoi utilizzare il comando export-rules per esportare le regole delle policy firewall esistenti in un file YAML. Per saperne di più, consulta Esporta regola policy firewall. Il file YAML esportato include le regole goto_next predefinite con la priorità più bassa (regole con priorità maggiore o uguale a 2147483644), assicurati di non modificare queste regole goto_next predefinite.

Tuttavia, se non vuoi utilizzare il comando export-rules, puoi anche creare manualmente un nuovo file YAML per modificare le regole. Per creare manualmente un nuovo file YAML:

  1. Crea un file YAML RULES_YAML_FILE. Sostituisci RULES_YAML_FILE con un nome file a tua scelta.

  2. Aggiungi il campo rules al file YAML. Il campo rules contiene un elenco delle regole dei criteri firewall. Per uno schema che descrive il formato di esportazione o importazione, consulta CLOUDSDKROOT/lib/googlecloudsdk/schemas/compute/beta/FirewallPolicy.yaml. dove CLOUDSDKROOT è la directory di installazione di Google Cloud CLI.

    Di seguito è riportato un esempio di schema YAML.

        rules:
    -action: deny
     description:
     priority: 1
     disabled: false
     enable-logging: false
     kind: compute#firewallPolicyRule
     ...
    -action: goto_next
     priority: 2
     disabled: false
     enable-logging: false
     ...

    Per modificare le regole delle policy firewall, consulta Modificare le regole delle policy firewall.

Esporta regola del criterio firewall

Puoi avviare gli aggiornamenti utilizzando gcloud CLI o l'API Compute Engine.

Esporta policy firewall gerarchica

Esporta le regole della policy firewall dalla policy firewall gerarchica.

gcloud

Per esportare le regole dalla policy firewall gerarchica, utilizza il comando gcloud compute firewall-policies export-rules:

gcloud compute firewall-policies export-rules FIREWALL_POLICY \
    --destination=DESTINATION \
    --organization=ORGANIZATION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome breve o l'ID della policy firewall gerarchica da cui esportare le regole
  • DESTINATION: il percorso di un file YAML in cui verrà esportata la configurazione
  • ORGANIZATION: l'organizzazione in cui deve essere aggiornata la policy del firewall dell'organizzazione. Deve essere impostato se FIREWALL_POLICY è un nome breve

API

Per esportare le regole esistenti dai criteri firewall gerarchici, utilizza il metodo firewallPolicies.get nell'API Compute Engine:

  GET https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

Esporta policy firewall di rete

Esporta le regole firewall dalla policy firewall di rete.

gcloud

Per esportare la configurazione delle regole delle policy del firewall di rete in un file, utilizza il comando gcloud compute network-firewall-policies export-rules:

gcloud compute network-firewall-policies export-rules FIREWALL_POLICY \
    --destination=RULES_YAML_FILE_PATH \
    --global | --region=REGION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome della policy firewall di rete da cui esportare le regole
  • RULES_YAML_FILE_PATH: il percorso di un file YAML in cui viene esportata la configurazione
  • REGION: specifica --global se si tratta di una norma globale o REGION se si tratta di una norma regionale.

API

Per esportare le regole esistenti dal criterio firewall di rete globale, utilizza il metodo networkFirewallPolicies.get nell'API Compute Engine:

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID del progetto
  • FIREWALL_POLICY_NAME: il nome della policy firewall che vuoi esportare

Per esportare le regole esistenti dalla policy firewall di rete regionale, utilizza il metodo regionNetworkFirewallPolicies.get nell'API Compute Engine:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID del progetto
  • REGION: la regione delle regole di policy firewall
  • FIREWALL_POLICY_NAME: il nome della policy firewall che vuoi esportare

Questa richiesta restituisce una definizione della risorsa della policy del firewall.

Modifica le regole delle policy firewall

Modifica le regole dei criteri firewall che hai esportato nella sezione precedente.

  1. Apri il file esportato. Ad esempio, RULES_YAML_FILE.

  2. Aggiungi il campo rules come mostrato nell'esempio seguente.

        rules:
     -action: allow
      description: test-rule1
      direction: INGRESS
      disabled: false
      enableLogging: false
      kind: compute#firewallPolicyRule

  3. Aggiungi i campi di configurazione aggiuntivi, ad esempio action, direction e priority. Di seguito è riportato un esempio di un file YAML di base.

        rules:
     -action: allow
      description: test-rule1
      direction: INGRESS
      disabled: false
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -192.0.2.0/24
      priority: 1
      ruleTupleCount: 2
     -action: goto_next
      description: default egress rule
      direction: EGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        destIpRanges:
        -::/0
        layer4Configs:
        -ipProtocol: all
      priority: 2147483644
      ruleTupleCount: 2
     -action: goto_next
      description: default ingress rule
      direction: INGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -::/0
      priority: 2147483645
      ruleTupleCount: 2
     -action: goto_next
      description: default egress rule
      direction: EGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        destIpRanges:
        -198.51.100.0/24
        layer4Configs:
        -ipProtocol: all
      priority: 2147483646
      ruleTupleCount: 2
     -action: goto_next
      description: default ingress rule
      direction: INGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -192.0.2.0/24
      priority: 2147483647
      ruleTupleCount: 2

Importa regole delle policy del firewall

Importa le regole nella policy firewall dopo aver modificato il file con gli aggiornamenti batch richiesti. L'importazione del file modificato sostituisce le regole di criteri firewall esistenti con quelle fornite.

Importare regole dei criteri firewall gerarchici

Importa le regole firewall nel criterio firewall gerarchico.

gcloud

Per importare le regole nella policy firewall gerarchica, utilizza il comando gcloud compute firewall-policies import-rules:

gcloud compute firewall-policies import-rules FIREWALL_POLICY \
    --source=RULES_YAML_FILE_PATH \
    --organization=ORGANIZATION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome breve o l'ID della policy firewall gerarchica da aggiornare
  • RULES_YAML_FILE_PATH: percorso del file YAML da cui importare le regole
  • ORGANIZATION: l'organizzazione in cui deve essere aggiornata la policy del firewall dell'organizzazione. Deve essere impostato se FIREWALL_POLICY è un nome breve.

API

Per importare le regole della policy firewall, utilizza il metodo firewallPolicies.patch nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

Importa policy firewall di rete

Importa il file YAML delle regole firewall modificate nella policy firewall di rete.

gcloud

Per importare regole nel criterio firewall di rete, utilizza il comando gcloud compute network-firewall-policies import-rules:

gcloud compute network-firewall-policies import-rules FIREWALL_POLICY \
    --source=RULES_YAML_FILE_PATH \
    --global | --region=REGION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome della policy firewall di rete da aggiornare
  • RULES_YAML_FILE_PATH: il percorso scelto per importare le regole
  • REGION: specifica --global se si tratta di una norma globale o REGION se si tratta di una norma regionale.

API

Per importare le regole dei criteri firewall di rete modificati, utilizza il metodo networkFirewallPolicies.patch nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID progetto delle regole della policy firewall di rete
  • FIREWALL_POLICY_NAME: il nome della policy firewall di rete che vuoi esportare

Per importare le regole dei criteri firewall di rete regionali modificati, utilizza il metodo regionNetworkFirewallPolicies.patch nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID progetto delle regole della policy del firewall di rete regionale
  • REGION: la regione delle regole della policy del firewall

  • FIREWALL_POLICY_NAME: il nome della policy firewall che vuoi esportare

    Questa richiesta restituisce una definizione della risorsa della policy del firewall di rete.

Passaggi successivi