Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Migrer des règles de pare-feu VPC qui utilisent des tags réseau et des comptes de service

Vos règles de pare-feu de cloud privé virtuel (VPC) peuvent contenir des tags réseau et des comptes de service sources. Effectuez les tâches suivantes pour migrer vos règles de pare-feu VPC contenant des tags réseau et des comptes de service sources vers une stratégie de pare-feu réseau mondiale :

Évaluez votre environnement.
Répertoriez les tags réseau et les comptes de service existants.
Créez des tags pour chaque tag réseau et compte de service source.
Mappez les tags réseau et les comptes de service aux tags que vous créez.
Liez les tags aux instances de machines virtuelles (VM).
Migrez les règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale.
Examinez la nouvelle stratégie de pare-feu réseau.
Effectuez les tâches post-migration.

Avant de commencer

In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Trusted Cloud project.
Enable the Compute Engine API.
Enable the API

Install the Google Cloud CLI.

Remarque : Si vous avez déjà installé gcloud CLI, assurez-vous que vous disposez de la dernière version en exécutant gcloud components update.
Configurez la gcloud CLI pour utiliser votre identité fédérée.

Pour en savoir plus, consultez Se connecter à gcloud CLI avec votre identité fédérée.
Pour initialiser gcloudCLI, exécutez la commande suivante :
```
gcloud init
```
Assurez-vous de disposer du rôle Administrateur de sécurité de Compute (roles/compute.securityAdmin).

Évaluer votre environnement

Avant de migrer vos règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale, évaluez votre environnement existant, ainsi que les rôles et autorisations IAM (Identity and Access Management) :

Identifiez le nombre de règles de pare-feu VPC dans votre réseau VPC.
Notez les priorités associées à chaque règle de pare-feu VPC.
Assurez-vous de disposer des rôles et autorisations IAM requis pour créer, associer, modifier et afficher les stratégies de pare-feu réseau mondiales.

Assurez-vous de disposer des rôles et autorisations IAM requis pour créer, mettre à jour et supprimer des définitions de tags sécurisés.

Le tableau suivant récapitule les différents rôles requis pour créer et gérer des tags :

Nom du rôle	Tâches effectuées
Rôle Administrateur de tags (`roles/resourcemanager.tagAdmin`)	Créez, mettez à jour et supprimez des définitions de tags. Pour en savoir plus, consultez la section Administrer les tags.
Rôle Lecteur de tags (`roles/resourcemanager.tagViewer`)	Affichez les définitions de tags et les tags associés aux ressources.
Rôle Utilisateur de tags (`roles/resourcemanager.tagUser`)	Ajoutez et supprimez des tags associés aux ressources.

Répertorier les tags réseau et les comptes de service existants

Déterminez si vos règles de pare-feu VPC utilisent des tags réseau ou des comptes de service, puis créez un fichier JSON pour enregistrer les détails des tags réseau et des comptes de service existants.

Pour exporter les tags réseau et les comptes de service de votre réseau vers un fichier de mappage JSON, exécutez la commande compute firewall-rules migrate avec l'option --export-tag-mapping.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --export-tag-mapping \
    --tag-mapping-file=TAG_MAPPING_FILE

Remplacez les éléments suivants :

NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer.
TAG_MAPPING_FILE : nom du fichier de mappage JSON.

Si vos règles de pare-feu VPC ne contiennent que des comptes de service, le fichier JSON généré ne contient que des comptes de service. De même, si vos règles de pare-feu VPC ne contiennent que des tags réseau, le fichier JSON généré ne contient que des tags réseau. Les comptes de service portent le préfixe sa, et les tags réseau n'en ont pas.

Par exemple, le fichier JSON généré suivant contient un tag réseau sql-server et un compte de service example@example.com.

{"sql-server": null, "sa:example@example.com": null}

Créer des tags

En fonction des tags réseau et des comptes de service sources répertoriés dans le fichier de mappage, vous devez créer les tags sécurisés correspondants sur votre réseau.

Les nouveaux tags sécurisés remplacent les tags réseau et les comptes de service, et conservent la configuration réseau d'origine après la migration.

En tant que compte principal doté du rôle "Administrateur de tags", créez la paire clé-valeur des tags sécurisés associés à chaque tag réseau et compte de service.

gcloud resource-manager tags keys create TAG_KEY \
    --parent organizations/ORGANIZATION_ID \
    --purpose GCE_FIREWALL \
    --purpose-data network=PROJECT_ID/NETWORK_NAME

gcloud resource-manager tags values create TAG_VALUE \
    --parent ORGANIZATION_ID/TAG_KEY

Remplacez les éléments suivants :

TAG_KEY : nom de la clé du tag.
ORGANIZATION_ID : ID de votre organisation.
PROJECT_ID : par l'ID du projet.
NETWORK_NAME : nom de votre réseau VPC.
TAG_VALUE : valeur à attribuer à la clé de tag.

Par exemple, si vous disposez d'une règle de pare-feu VPC avec un tag réseau appelé sql-server, créez la paire clé-valeur de tag sécurisé correspondante sql-server:production.

gcloud resource-manager tags keys create sql-server \
    --parent organizations/123456 \
    --purpose GCE_FIREWALL \
    --purpose-data network=test-project/test-network

gcloud resource-manager tags values create production \
   --parent 123456/sql-server

Mapper les tags réseau et les comptes de service aux tags

Après avoir créé des tags sécurisés gérés par IAM pour chaque tag réseau et compte de service utilisés par vos règles de pare-feu VPC, vous devez mapper les tags aux tags réseau et comptes de service correspondants dans le fichier de mappage JSON.

Modifiez le fichier JSON pour mapper les tags réseau et les comptes de service aux tags sécurisés correspondants.

{"sql-server": "tagValues/yyyyy", "sa:example@example.com": "tagValues/zzzzz"}

Par exemple, le fichier JSON suivant mappe le tag réseau sql-server à la valeur de tag de la clé sql-server, et le compte de service example@example.com à la valeur de tag de la clé example@example.com :

{"sql-server": "tagValues/production", "sa:example@example.com": "tagValues/example"}

Lier les tags aux VM

En fonction du fichier JSON de mappage de tags, liez les tags sécurisés que vous venez de créer aux VM auxquelles les tags réseau existants sont associés :

En tant que compte principal doté du rôle "Administrateur de tags", procédez comme suit :
1. Examinez les autorisations requises pour associer des tags sécurisés aux ressources Trusted Cloud by S3NS .
2. Attribuez le rôle "Utilisateur de tags" au compte principal qui utilise les tags sécurisés et lie les tags aux VM.
En tant que compte principal doté du rôle "Utilisateur de tags", exécutez la commande compute firewall-rules migrate avec l'option --bind-tags-to-instances :
```
gcloud beta compute firewall-rules migrate \
   --source-network=NETWORK_NAME \
   --bind-tags-to-instances \
   --tag-mapping-file=TAG_MAPPING_FILE
```
Remplacez les éléments suivants :
- NETWORK_NAME : nom de votre réseau VPC.
- TAG_MAPPING_FILE : nom du fichier de mappage JSON.

Migrer les règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale

Migrez vos règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale. Exécutez la commande compute-firewall-rules migrate.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --tag-mapping-file=TAG_MAPPING_FILE

Remplacez les éléments suivants :

NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer.
POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale à créer lors de la migration.

Exclure des règles de pare-feu de la migration

Pour exclure des règles de pare-feu spécifiques de la migration, utilisez la commande gcloud beta compute firewall-rules migrate avec l'option --exclusion-patterns-file :

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE

Remplacez les éléments suivants :

NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer.
POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale à créer lors de la migration.
EXCLUSION_PATTERNS_FILE : nom du fichier contenant les expressions régulières qui définissent les modèles de dénomination des pare-feu VPC à exclure de la migration. Veillez à spécifier le chemin d'accès complet au fichier. Les règles de pare-feu correspondant aux modèles spécifiés sont ignorées.

Lorsque vous définissez les modèles d'exclusion, tenez compte des points suivants :
- Chaque expression régulière doit figurer sur sa propre ligne et représenter un seul modèle de nommage de pare-feu.
- Les expressions régulières ne contiennent pas d'espaces blancs de début ni de fin.

Afficher les règles de pare-feu exclues

En fonction des modèles de dénomination des règles de pare-feu exclues, l'outil de migration ne migre pas certaines règles de pare-feu, telles que les règles de pare-feu Google Kubernetes Engine (GKE). Pour exporter la liste des modèles de nommage des règles de pare-feu exclus, utilisez la commande gcloud beta compute firewall-rules migrate avec les options --export-exclusion-patterns et --exclusion-patterns-file.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --exclusion-patterns-file=EXCLUSION_PATTERNS_FILE \
    --export-exclusion-patterns

Remplacez les éléments suivants :

NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer.
POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale à créer lors de la migration.

EXCLUSION_PATTERNS_FILE : chemin d'accès au fichier dans lequel les modèles de dénomination de règles de pare-feu exclus suivants sont exportés.

gke-(.+)-ipv6-all
gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd))
k8s-fw-(l7-)?(.+)
k8s-(.+)-((node)|(http)|(node-http))-hc
(.+)-hc
k8s2-(.+)-(.+)-(.+)-(.+)(-fw)?
k8s2-(.+)-l4-shared-hc-fw
gke((gw)|(mcg))1-l7-(.+)-(.+)

Pour migrer les règles de pare-feu exclues qui correspondent à un modèle spécifique, supprimez le modèle de la liste exportée et exécutez la commande gcloud beta compute firewall-rules migrate avec l'option --exclusion-patterns-file.

Forcer la migration tout en préservant l'ordre d'évaluation

Lors de la migration, si l'ordre d'évaluation d'une règle de pare-feu exclue se situe entre les ordres d'évaluation des règles de pare-feu spécifiées par l'utilisateur, la migration échoue.Cela se produit, car les règles de pare-feu exclues ne sont pas migrées et l'outil de migration ne peut pas conserver l'ordre d'évaluation d'origine des règles définies par l'utilisateur dans la nouvelle stratégie de pare-feu réseau.

Par exemple, si vos règles de pare-feu ont les priorités suivantes, la migration échoue.

Règle spécifiée par l'utilisateur avec une priorité de 100
Règle exclue avec la priorité 200
Règle spécifiée par l'utilisateur avec une priorité de 300

Pour forcer l'outil de migration à migrer les règles spécifiées par l'utilisateur tout en conservant leur ordre d'évaluation d'origine et en ignorant les règles de pare-feu exclues, utilisez la commande gcloud beta compute firewall-rules migrate avec l'indicateur --force.

gcloud beta compute firewall-rules migrate \
    --source-network=NETWORK_NAME \
    --target-firewall-policy=POLICY_NAME \
    --force

Remplacez les éléments suivants :

NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer.
POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale à créer lors de la migration.

Examiner la nouvelle stratégie de pare-feu réseau mondiale

Avant d'associer la stratégie que vous venez de créer à un réseau VPC, Google vous recommande de l'examiner pour vous assurer que le processus de migration est bien terminé.

Effectuez les vérifications suivantes :

La configuration des règles de stratégie de pare-feu est correcte et les composants de règles suivants sont bien migrés pour chaque règle :
- Priorité relative
- Sens du trafic
- Action en cas de correspondance
- Paramètres des journaux
- Paramètres cibles
- Paramètres sources (pour les règles d'entrée)
- Paramètres de destination (pour les règles de sortie)
- Contraintes liées au protocole et au port
Vérifiez si les tags sécurisés sont associés à la VM appropriée. Utilisez la commande resource-manager tags bindings list.
```
gcloud resource-manager tags bindings list \
    --location=ZONE_ID \
    --parent //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_NAME \
    --effective
```
Remplacez les éléments suivants :
- ZONE_ID : zone de votre VM
- PROJECT_ID : par l'ID du projet.
- INSTANCE_NAME : nom de votre VM.

Tâches à effectuer après la migration

Pour activer et utiliser la nouvelle stratégie de pare-feu réseau mondiale, effectuez les tâches post-migration. Pour en savoir plus, consultez la section Tâches à effectuer après la migration.

Étapes suivantes

Apprenez-en plus sur la migration des règles de pare-feu VPC.
Migrez les règles de pare-feu VPC sans dépendances.