Configurare gli aggiornamenti batch delle regole dei criteri firewall

Questa pagina spiega come configurare l'aggiornamento collettivo per tutte le regole dei criteri firewall (criteri firewall gerarchici e di rete). Per eseguire l'aggiornamento collettivo, puoi utilizzare Google Cloud CLI o l'API Compute Engine.

Per ulteriori informazioni sugli aggiornamenti batch, consulta la Panoramica.

Se utilizzi gcloud CLI per aggiornare in blocco le regole del criterio firewall, utilizza i seguenti comandi gcloud CLI:

  • export-rules: consente di esportare la configurazione delle regole del criterio del firewall in un file YAML. Nel file YAML, puoi aggiungere, modificare e rimuovere la configurazione delle regole dei criteri firewall in base ai tuoi requisiti.

  • import-rules: consente di importare il file di configurazione delle regole di policy firewall modificate. Le regole esistenti del criterio firewall specificato vengono sostituite.

Se utilizzi le API REST per aggiornare in blocco le regole del criterio del firewall, utilizza il metodo patch. Il metodo patch ti consente di sostituire tutte le regole nel criterio firewall specificando il campo rules nella richiesta. Non è necessario creare un file YAML. Quando utilizzi il metodo patch, mantieni le regole goto_next predefinite con la priorità più bassa.

Prima di iniziare

Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è il processo mediante il quale la tua identità viene verificata per l'accesso a servizi e API. Trusted Cloud by S3NS Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti in Compute Engine come descritto in questa sezione.

Console

Quando utilizzi la Trusted Cloud console per accedere Trusted Cloud by S3NS a servizi e API, non devi configurare l'autenticazione.

gcloud

  1. Dopo aver installato Google Cloud CLI, inizializzalo eseguendo il seguente comando:

    
gcloud init

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla CLI gcloud con la tua identità federata.

  2. Imposta la regione e la zona predefinite nel client locale.

REST

Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite all'interfaccia a riga di comando gcloud.

Dopo aver installato Google Cloud CLI, inizializzalo eseguendo il seguente comando:


gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla CLI gcloud con la tua identità federata.

Per ulteriori informazioni, consulta la sezione Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'Trusted Cloud by S3NS autenticazione.

Crea un file YAML

Puoi utilizzare il comando export-rules per esportare le regole dei criteri del firewall esistenti in un file YAML. Per ulteriori informazioni, consulta Esportare la regola del criterio firewall. Il file YAML esportato include le regole goto_next predefinite con la priorità più bassa (regole con priorità maggiore o uguale a 2147483644). Assicurati di non modificare queste regole goto_next predefinite.

Tuttavia, se non vuoi utilizzare il comando export-rules, puoi anche creare manualmente un nuovo file YAML per modificare le regole. Per creare manualmente un nuovo file YAML:

  1. Crea un file YAML RULES_YAML_FILE. Sostituisci RULES_YAML_FILE con un nome file a tua scelta.

  2. Aggiungi il campo rules al file YAML. Il campo rules contiene un elenco delle regole dei criteri firewall. Per uno schema che descrive il formato di esportazione o importazione, consulta CLOUDSDKROOT/lib/googlecloudsdk/schemas/compute/beta/FirewallPolicy.yaml. dove CLOUDSDKROOT è la directory di installazione di Google Cloud CLI.

    Di seguito è riportato un esempio di schema YAML.

        rules:
    -action: deny
     description:
     priority: 1
     disabled: false
     enable-logging: false
     kind: compute#firewallPolicyRule
     ...
    -action: goto_next
     priority: 2
     disabled: false
     enable-logging: false
     ...

    Per modificare le regole del criterio firewall, consulta Modificare le regole del criterio firewall.

Esporta regola del criterio firewall

Puoi avviare gli aggiornamenti utilizzando gcloud CLI o l'API Compute Engine.

Esportare il criterio firewall gerarchico

Esporta le regole della policy firewall dal criterio firewall gerarchico.

gcloud

Per esportare le regole dal criterio firewall gerarchico, utilizza il comando gcloud compute firewall-policies export-rules:

gcloud compute firewall-policies export-rules FIREWALL_POLICY \
    --destination=DESTINATION \
    --organization=ORGANIZATION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome breve o l'ID del criterio firewall gerarchico da cui esportare le regole
  • DESTINATION: percorso di un file YAML in cui verrà estratta la configurazione
  • ORGANIZATION: l'organizzazione in cui deve essere aggiornato il policy del firewall. Deve essere impostato se FIREWALL_POLICY è un nome breve

API

Per esportare le regole esistenti dal criterio firewall gerarchico, utilizza il metodo firewallPolicies.get nell'API Compute Engine:

  GET https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

Esportare il criterio firewall di rete

Esporta le regole firewall dal criterio firewall di rete.

gcloud

Per esportare la configurazione delle regole delle policy del firewall di rete in un file, utilizza il comando gcloud compute network-firewall-policies export-rules:

gcloud compute network-firewall-policies export-rules FIREWALL_POLICY \
    --destination=RULES_YAML_FILE_PATH \
    --global | --region=REGION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome del criterio firewall di rete da cui esportare le regole
  • RULES_YAML_FILE_PATH: percorso di un file YAML in cui viene esportata la configurazione
  • REGION: specifica --global se si tratta di un criterio globale o REGION se si tratta di un criterio regionale.

API

Per esportare le regole esistenti dal criterio del firewall di rete globale, utilizza il metodo networkFirewallPolicies.get nell'API Compute Engine:

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID del progetto
  • FIREWALL_POLICY_NAME: il nome del criterio firewall da esportare

Per esportare le regole esistenti dal criterio firewall di rete regionale, utilizza il metodo regionNetworkFirewallPolicies.get nell'API Compute Engine:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID del progetto
  • REGION: la regione delle regole della policy del firewall
  • FIREWALL_POLICY_NAME: il nome del criterio del firewall da esportare

Questa richiesta restituisce una definizione della risorsa del criterio firewall.

Modificare le regole del criterio firewall

Modifica le regole del criterio firewall che hai esportato nella sezione precedente.

  1. Apri il file esportato. Ad esempio, RULES_YAML_FILE.

  2. Aggiungi il campo rules come mostrato nell'esempio seguente.

        rules:
     -action: allow
      description: test-rule1
      direction: INGRESS
      disabled: false
      enableLogging: false
      kind: compute#firewallPolicyRule

  3. Aggiungi i campi di configurazione aggiuntivi, ad esempio action, direction e priority. Di seguito è riportato un esempio di file YAML di base.

        rules:
     -action: allow
      description: test-rule1
      direction: INGRESS
      disabled: false
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -192.0.2.0/24
      priority: 1
      ruleTupleCount: 2
     -action: goto_next
      description: default egress rule
      direction: EGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        destIpRanges:
        -::/0
        layer4Configs:
        -ipProtocol: all
      priority: 2147483644
      ruleTupleCount: 2
     -action: goto_next
      description: default ingress rule
      direction: INGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -::/0
      priority: 2147483645
      ruleTupleCount: 2
     -action: goto_next
      description: default egress rule
      direction: EGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        destIpRanges:
        -198.51.100.0/24
        layer4Configs:
        -ipProtocol: all
      priority: 2147483646
      ruleTupleCount: 2
     -action: goto_next
      description: default ingress rule
      direction: INGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -192.0.2.0/24
      priority: 2147483647
      ruleTupleCount: 2

Importa le regole della policy firewall

Importa le regole nel criterio firewall dopo aver modificato il file con gli aggiornamenti collettivi richiesti. L'importazione del file modificato sostituisce le regole del criterio firewall esistenti con quelle fornite.

Importa le regole della policy firewall gerarchica

Importa le regole del firewall nel criterio firewall gerarchico.

gcloud

Per importare le regole nel criterio firewall gerarchico, utilizza il comando gcloud compute firewall-policies import-rules:

gcloud compute firewall-policies import-rules FIREWALL_POLICY \
    --source=RULES_YAML_FILE_PATH \
    --organization=ORGANIZATION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome breve o l'ID del criterio firewall gerarchico da aggiornare
  • RULES_YAML_FILE_PATH: percorso del file YAML da cui importare le regole
  • ORGANIZATION: l'organizzazione in cui deve essere aggiornato il policy del firewall. Deve essere impostato se FIREWALL_POLICY è un nome breve.

API

Per importare le regole del criterio firewall, utilizza il metodo firewallPolicies.patch nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

Importa il criterio firewall di rete

Importa il file YAML delle regole firewall modificate nel criterio firewall di rete.

gcloud

Per importare le regole nel criterio firewall di rete, utilizza il comando gcloud compute network-firewall-policies import-rules:

gcloud compute network-firewall-policies import-rules FIREWALL_POLICY \
    --source=RULES_YAML_FILE_PATH \
    --global | --region=REGION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome del criterio del firewall di rete da aggiornare
  • RULES_YAML_FILE_PATH: il percorso scelto per l'importazione delle regole
  • REGION: specifica --global se si tratta di un criterio globale o REGION se si tratta di un criterio regionale.

API

Per importare le regole del criterio firewall di rete modificato, utilizza il metodo networkFirewallPolicies.patch nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID progetto delle regole del criterio firewall di rete
  • FIREWALL_POLICY_NAME: il nome del criterio firewall di rete che vuoi esportare

Per importare le regole della policy firewall di rete regionale modificate, utilizza il metodo regionNetworkFirewallPolicies.patch nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID progetto delle regole del criterio firewall di rete regionale
  • REGION: la regione delle regole del criterio firewall

  • FIREWALL_POLICY_NAME: il nome del criterio firewall da esportare

    Questa richiesta restituisce una definizione della risorsa del criterio firewall di rete.

Passaggi successivi

  • Per un'introduzione alle regole firewall, consulta Regole dei criteri firewall.
  • Per una panoramica dell'aggiornamento collettivo delle regole del criterio firewall, consulta Panoramica.