Configurare gli aggiornamenti batch delle regole dei criteri firewall

Questa pagina spiega come configurare l'aggiornamento batch per tutte le regole delle policy del firewall (policy del firewall gerarchiche e firewall di rete). Per eseguire l'aggiornamento batch, puoi utilizzare Google Cloud CLI o l' API Compute Engine.

Per saperne di più sugli aggiornamenti batch, consulta la panoramica.

Se utilizzi gcloud CLI per aggiornare in batch le regole delle policy del firewall, utilizza i seguenti comandi gcloud CLI:

  • export-rules: consente di esportare la configurazione delle regole delle policy del firewall in un file YAML. Nel file YAML, puoi aggiungere, modificare e rimuovere la configurazione delle regole delle policy del firewall in base alle tue esigenze.

  • import-rules: consente di importare il file di configurazione delle regole delle policy del firewall modificato. In questo modo, le regole esistenti della policy del firewall specificata vengono sostituite.

Se utilizzi le API REST per aggiornare in batch le regole delle policy firewall, utilizza il metodo patch. Il metodo patch consente di sostituire tutte le regole nella policy del firewall fornendo il campo rules nella richiesta; non è necessario creare un file YAML. Quando utilizzi il metodo patch, mantieni le regole goto_next predefinite con la priorità più bassa.

Prima di iniziare

Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è il processo di verifica della propria identità per poter accedere a Cloud de Confiance by S3NS servizi e API. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine come descritto in questa sezione.

Console

Quando utilizzi la Cloud de Confiance console per accedere a Cloud de Confiance by S3NS servizi e API, non devi configurare l'autenticazione.

gcloud

  1. Dopo aver installato Google Cloud CLI, inizializzalo eseguendo il comando seguente:

    
gcloud init

    Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  2. Imposta la regione e la zona predefinite nel client locale.

REST

Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.

Dopo aver installato Google Cloud CLI, inizializzalo eseguendo il comando seguente:


gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per saperne di più, consulta Autenticati per usare REST nella Cloud de Confiance by S3NS documentazione sull'autenticazione di.

Crea un file YAML

Puoi utilizzare il comando export-rules per esportare le regole delle policy del firewall esistenti in un file YAML. Per saperne di più, consulta Esporta la policy del firewall. Il file YAML esportato include le regole goto_next predefinite con la priorità più bassa (regole con priorità maggiore o uguale a 2147483644), assicurati di non modificare queste regole goto_next predefinite.

Tuttavia, se non vuoi utilizzare il comando export-rules, puoi anche creare manualmente un nuovo file YAML per modificare le regole. Per creare manualmente un nuovo file YAML:

  1. Crea un file YAML RULES_YAML_FILE. Sostituisci RULES_YAML_FILE con un nome file a tua scelta.

  2. Aggiungi il campo rules al file YAML. Il campo rules contiene un elenco delle regole della policy del firewall. Per uno schema che descrive il formato di esportazione o importazione, consulta CLOUDSDKROOT/lib/googlecloudsdk/schemas/compute/beta/FirewallPolicy.yaml. Dove CLOUDSDKROOT è la directory di installazione di Google Cloud CLI.

    Di seguito è riportato un esempio di schema YAML.

        rules:
    -action: deny
     description:
     priority: 1
     disabled: false
     enable-logging: false
     kind: compute#firewallPolicyRule
     ...
    -action: goto_next
     priority: 2
     disabled: false
     enable-logging: false
     ...

    Per modificare le regole delle policy del firewall, consulta Modifica le regole delle policy del firewall.

Esporta la regola della policy del firewall

Puoi avviare gli aggiornamenti utilizzando gcloud CLI o l'API Compute Engine.

Esporta la policy del firewall gerarchica

Esporta le regole delle policy del firewall dalla policy del firewall gerarchica.

gcloud

Per esportare le regole dalla policy del firewall gerarchica, utilizza il gcloud compute firewall-policies export-rules comando:

gcloud compute firewall-policies export-rules FIREWALL_POLICY \
    --destination=DESTINATION \
    --organization=ORGANIZATION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome breve o l'ID della policy del firewall gerarchica da cui esportare le regole
  • DESTINATION: il percorso di un file YAML in cui verrà esportata la configurazione
  • ORGANIZATION: l'organizzazione in cui deve essere aggiornata la policy del firewall dell'organizzazione. Deve essere impostato se FIREWALL_POLICY è un nome breve

API

Per esportare le regole esistenti dalla policy del firewall gerarchica, utilizza il firewallPolicies.get metodo nell'API Compute Engine:

  GET https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

Esporta la policy del firewall di rete

Esporta le regole firewall dalla policy del firewall di rete.

gcloud

Per esportare la configurazione delle regole delle policy firewall di rete in un file, utilizza il gcloud compute network-firewall-policies export-rules comando:

gcloud compute network-firewall-policies export-rules FIREWALL_POLICY \
    --destination=RULES_YAML_FILE_PATH \
    --global | --region=REGION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome della policy del firewall di rete da cui esportare le regole
  • RULES_YAML_FILE_PATH: il percorso di un file YAML in cui viene esportata la configurazione
  • REGION: specifica --global se si tratta di una policy globale o REGION se si tratta di una policy regionale.

API

Per esportare le regole esistenti dalla policy del firewall di rete globale, utilizza il networkFirewallPolicies.get metodo nell'API Compute Engine:

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID del progetto
  • FIREWALL_POLICY_NAME: il nome della policy del firewall che vuoi esportare

Per esportare le regole esistenti dalla policy del firewall di rete regionale, utilizza il regionNetworkFirewallPolicies.get metodo nell'API Compute Engine:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID del progetto
  • REGION: la regione delle regole delle policy firewall
  • FIREWALL_POLICY_NAME: il nome della policy del firewall che vuoi esportare

Questa richiesta restituisce una definizione della risorsa della policy del firewall.

Modifica le regole delle policy del firewall

Modifica le regole delle policy del firewall che hai esportato nella sezione precedente.

  1. Apri il file esportato. Ad esempio, RULES_YAML_FILE.

  2. Aggiungi il campo rules come mostrato nell'esempio seguente.

        rules:
     -action: allow
      description: test-rule1
      direction: INGRESS
      disabled: false
      enableLogging: false
      kind: compute#firewallPolicyRule

  3. Aggiungi i campi di configurazione aggiuntivi, ad esempio action, direction e priority. Di seguito è riportato un esempio di file YAML di base.

        rules:
     -action: allow
      description: test-rule1
      direction: INGRESS
      disabled: false
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -192.0.2.0/24
      priority: 1
      ruleTupleCount: 2
     -action: goto_next
      description: default egress rule
      direction: EGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        destIpRanges:
        -::/0
        layer4Configs:
        -ipProtocol: all
      priority: 2147483644
      ruleTupleCount: 2
     -action: goto_next
      description: default ingress rule
      direction: INGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -::/0
      priority: 2147483645
      ruleTupleCount: 2
     -action: goto_next
      description: default egress rule
      direction: EGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        destIpRanges:
        -198.51.100.0/24
        layer4Configs:
        -ipProtocol: all
      priority: 2147483646
      ruleTupleCount: 2
     -action: goto_next
      description: default ingress rule
      direction: INGRESS
      enableLogging: false
      kind: compute#firewallPolicyRule
      match:
        layer4Configs:
        -ipProtocol: all
        srcIpRanges:
        -192.0.2.0/24
      priority: 2147483647
      ruleTupleCount: 2

Importa le regole delle policy del firewall

Importa le regole nella policy del firewall dopo aver modificato il file con gli aggiornamenti batch richiesti. L'importazione del file modificato sostituisce le regole delle policy del firewall esistenti con le regole fornite.

Importa le regole delle policy del firewall gerarchiche

Importa le regole firewall nella policy del firewall gerarchica.

gcloud

Per importare le regole nella policy del firewall gerarchica, utilizza il gcloud compute firewall-policies import-rules comando:

gcloud compute firewall-policies import-rules FIREWALL_POLICY \
    --source=RULES_YAML_FILE_PATH \
    --organization=ORGANIZATION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome breve o l'ID della policy del firewall gerarchica da aggiornare
  • RULES_YAML_FILE_PATH: il percorso del file YAML da cui importare le regole
  • ORGANIZATION: l'organizzazione in cui deve essere aggiornata la policy del firewall dell'organizzazione. Deve essere impostato se FIREWALL_POLICY è un nome breve.

API

Per importare le regole delle policy del firewall, utilizza il firewallPolicies.patch metodo nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/locations/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

Importa la policy del firewall di rete

Importa il file YAML delle regole firewall modificate nella policy del firewall di rete.

gcloud

Per importare le regole nella policy del firewall di rete, utilizza il gcloud compute network-firewall-policies import-rules comando:

gcloud compute network-firewall-policies import-rules FIREWALL_POLICY \
    --source=RULES_YAML_FILE_PATH \
    --global | --region=REGION

Sostituisci quanto segue:

  • FIREWALL_POLICY: il nome della policy del firewall di rete da aggiornare
  • RULES_YAML_FILE_PATH: il percorso scelto per l'importazione delle regole
  • REGION: specifica --global se si tratta di una policy globale o REGION se si tratta di una policy regionale.

API

Per importare le regole delle policy del firewall di rete modificate, utilizza il networkFirewallPolicies.patch metodo nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/global/firewallPolicy/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID progetto delle regole delle policy firewall di rete
  • FIREWALL_POLICY_NAME: il nome della policy del firewall di rete che vuoi esportare

Per importare le regole delle policy del firewall di rete regionali modificate, utilizza il regionNetworkFirewallPolicies.patch metodo nell'API Compute Engine:

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/firewallPolicies/FIREWALL_POLICY_NAME

Sostituisci quanto segue:

  • PROJECT: l'ID progetto delle regole delle policy del firewall di rete regionali
  • REGION: la regione delle regole delle policy firewall

  • FIREWALL_POLICY_NAME: il nome della policy del firewall che vuoi esportare

    Questa richiesta restituisce una definizione della risorsa della policy del firewall di rete.

Passaggi successivi