GSP609

Présentation

Cloud Next Generation Firewall (Cloud NGFW) est un service de pare-feu entièrement distribué qui offre des fonctionnalités de protection avancées, une microsegmentation et une couverture omniprésente pour protéger vos charges de travail Google Cloud contre les attaques internes et externes.

Une stratégie de pare-feu réseau mondiale fait office de conteneur pour les règles de pare-feu. Les règles définies dans une stratégie de pare-feu réseau mondiale ne sont appliquées nulle part tant que la stratégie n'est pas associée à un réseau VPC. Chaque réseau VPC peut être associé à une stratégie de pare-feu réseau. Les stratégies de pare-feu réseau mondiales sont compatibles avec les Tags gérés par IAM (ou simplement "Tags") dans les règles de pare-feu. Ces Tags remplacent les tags réseau actuels et peuvent être utilisés pour fournir une identité à la charge de travail.

Le partage d'une stratégie de pare-feu réseau mondiale entre plusieurs réseaux et l'intégration avec les Tags gérés par IAM simplifient considérablement la configuration et la gestion des pare-feu. Il existe une différence majeure entre les règles de pare-feu VPC et les stratégies de pare-feu réseau mondiales : les règles de pare-feu VPC ne peuvent être appliquées qu'à un seul réseau VPC, tandis que les stratégies de pare-feu réseau peuvent être associées à un seul VPC ou à un groupe de VPC, entre autres avantages comme la mise à jour groupée.

Par défaut, la séquence d'application est illustrée dans le schéma suivant :

L'ordre d'application des règles de pare-feu VPC et de la stratégie de pare-feu réseau mondiale peut être inversé. Vous pouvez spécifier l'ordre d'application à tout moment avec une commande gcloud compute networks update.

Tags

Les nouveaux Tags pour les pare-feu sont intégrés aux règles des stratégies de pare-feu réseau. Il s'agit de ressources de paires clé-valeur définies au niveau de l'organisation dans la hiérarchie des ressources Google Cloud. Un tel Tag contient un contrôle des accès IAM qui, comme son nom l'indique, spécifie qui peut faire quoi sur le Tag. Les autorisations IAM, par exemple, permettent de spécifier les comptes principaux qui peuvent attribuer des valeurs aux tags et ceux qui peuvent associer des tags aux ressources. Une fois qu'un Tag a été appliqué à une ressource, les règles de pare-feu réseau peuvent l'utiliser pour autoriser et refuser le trafic.

Les tags respectent le modèle de ressource d'héritage de Google Cloud, ce qui signifie que les tags et leurs valeurs sont transmis dans la hiérarchie depuis leurs parents. Par conséquent, les tags peuvent être créés à un emplacement, puis utilisés par d'autres dossiers et projets dans toute la hiérarchie de ressources. Pour en savoir plus sur les tags et la restriction des accès, consultez Tags et accès conditionnel.

Les Tags sont différents des tags réseau. Les tags réseau sont des chaînes, et non pas des paires clé-valeurs. Les règles de pare-feu VPC peuvent inclure des tags réseau, mais comme ils ne sont pas considérés comme des ressources cloud, ils ne sont pas soumis au contrôle des accès IAM.

Prérequis

Bien que cela ne soit pas obligatoire dans les faits, pour apprendre à créer un réseau et appliquer des règles de pare-feu, vous devriez effectuer l'atelier Créer un réseau personnalisé et appliquer des règles de pare-feu. Dans cet atelier, nous partons du principe que vous comprenez ces concepts.

Points abordés

• Identifier les règles de pare-feu VPC existantes dans un projet Google Cloud
• Migrer les règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale
• Tester et vérifier que la migration a fonctionné en consultant les journaux

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).

Remarque : Ouvrez une fenêtre de navigateur en mode incognito (recommandé) ou de navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Utilisez uniquement le compte de participant pour cet atelier. Si vous utilisez un autre compte Google Cloud, des frais peuvent être facturés à ce compte.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

   • Le bouton "Ouvrir la console Google Cloud"
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche.

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

2. Passez les fenêtres suivantes :

   • Accédez à la fenêtre d'informations de Cloud Shell.
   • Autorisez Cloud Shell à utiliser vos identifiants pour effectuer des appels d'API Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET : . Le résultat contient une ligne qui déclare l'ID_PROJET pour cette session :

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

3. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

4. Cliquez sur Autoriser.

Résultat :

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Définir votre région et votre zone

Certaines ressources Compute Engine sont hébergées dans des régions et des zones. Une région est un emplacement géographique spécifique où vous pouvez exécuter vos ressources. Chaque région se compose d'une ou plusieurs zones.

1. Exécutez les commandes gcloud suivantes dans Cloud Shell pour définir la région par défaut de votre atelier :

gcloud config set compute/region "{{{project_0.default_region | Region}}}" export REGION=$(gcloud config get compute/region)

2. Exécutez les commandes gcloud suivantes dans Cloud Shell pour définir la zone par défaut de votre atelier :

gcloud config set compute/zone "{{{project_0.default_zone | Zone}}}" export ZONE=$(gcloud config get compute/zone)

Un avertissement peut s'afficher lorsque vous définissez la région et la zone. Vous pouvez l'ignorer.

3. Définissez l'ID de votre projet en tant que variable d'environnement :

export PROJECT_ID=$(gcloud config get-value project)

4. Répertoriez les réseaux de votre projet :

gcloud compute networks list

Identifier le nombre de règles de pare-feu VPC existantes dans votre réseau

1. Dans la console, accédez au menu de navigation, puis sélectionnez Réseau VPC et examinez les réseaux disponibles pour cet atelier.

2. Ouvrez chaque réseau et observez les règles de pare-feu.

3. Notez les priorités associées à chaque règle de pare-feu VPC.

4. Vous pourrez voir les tags associés à vos règles de pare-feu dans la console. Accédez à Réseaux VPC, puis cliquez sur external-network. Cliquez sur l'onglet Pare-feu, puis développez vpc-firewall-rules pour afficher les règles de pare-feu et leurs tags réseau. Vous devrez peut-être développer chaque ligne en cliquant sur la flèche située à droite de la ligne.

5. Dans Cloud Shell, exécutez la commande suivante pour afficher les règles de pare-feu du réseau external-network :

gcloud compute firewall-rules list --filter=network:external-network

Tâche 1 : Créer une règle de pare-feu mondiale

Les règles des stratégies de pare-feu réseau mondiales doivent être créées dans une stratégie de pare-feu réseau mondiale. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à un réseau VPC.

Chaque règle de stratégie de pare-feu réseau mondiale peut inclure des plages IPv4 ou IPv6, mais pas les deux.

gcloud compute firewall-rules create allow-ssh --direction=INGRESS --action=ALLOW --rules=tcp:22 --source-ranges=10.1.0.0/24,10.2.0.0/24 --description "allow-ssh" --network=external-network --target-tags=ssh gcloud compute firewall-rules create allow-web \ --allow tcp:80,tcp:443 \ --description "allow-web" \ --source-ranges 10.0.0.0/16 \ --network=external-network \ --target-tags=web Remarque : Les règles de pare-feu Cloud Next Generation Firewall comportent une règle implicit deny pour le trafic entrant. Vous devez donc définir ce qui est autorisé.

4. [Facultatif] Pour cet atelier, les autorisations appropriées sont déjà sélectionnées. Dans le menu de navigation de la console, sélectionnez IAM et administration. Vous verrez les autorisations qui vous ont été accordées pour cet atelier. Les rôles que vous aurez sont les suivants :

compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer resourcemanager.tagAdmin resourcemanager.tagViewer resourcemanager.tagUser

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer des règles de pare-feu mondiales

Tâche 2 : Enregistrer les détails des tags réseau existants

Vous allez ensuite créer un fichier JSON pour enregistrer les détails des tags réseau existants.

Pour exporter les tags réseau de votre réseau vers un fichier de mappage JSON, exécutez la commande compute firewall-rules migrate avec le flag --export-tag-mapping.

Remplacez les éléments suivants :

NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu VPC à migrer. Pour cet atelier, utilisez external-network.

TAG_MAPPING_FILE : créez un nom pour le fichier de mappage JSON.

gcloud beta compute firewall-rules migrate \ --source-network=NETWORK_NAME \ --export-tag-mapping \ --tag-mapping-file=TAG_MAPPING_FILE Looking for VPC Firewalls and Network Firewall Policies associated with VPC Network 'external-network'. Found 0 Network Firewall Policies associated with the VPC Network 'external-network'. Found 1 VPC Firewalls associated with the VPC Network 'external-network'. 8 pattern(s) used to filter VPC Firewalls out: gke-(.+)-ipv6-all gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd)) k8s-fw-(l7-)?(.+) k8s-(.+)-((node)|(http)|(node-http))-hc (.+)-hc k8s2-(.+)-(.+)-(.+)-(.+)(-fw)? k8s2-(.+)-l4-shared-hc-fw gke((gw)|(mcg))1-l7-(.+)-(.+)

Tâche 3 : Créer des Tags sécurisés

En fonction des tags réseau répertoriés dans le fichier de mappage, créez les Tags sécurisés correspondants sur votre réseau.

Les nouveaux Tags sécurisés remplacent les tags réseau et conservent la configuration réseau d'origine après la migration.

• TAG_KEY définit le type d'informations que vous taguez.
• TAG_VALUE définit les informations spécifiques que vous attribuez.

Ensemble, ils forment une paire clé-valeur qui offre un moyen flexible et efficace de gérer votre ressource Google Cloud.

1. Commencez par créer la clé de Tag TAG_KEY :

Remplacez les éléments suivants :

• TAG_KEY : nom de la clé de Tag, qui définit la catégorie ou la classification d'un Tag. Pour cet atelier, utilisez vpc-tags.
• PROJECT_ID : vous l'avez déjà défini en tant que variable pour cet atelier.
• NETWORK_NAME : nom de votre réseau VPC. Utilisez external-network.
• TAG_VALUE : attribut spécifique d'une TAG_KEY. Pour cet atelier, utilisez ssh, external et web.

gcloud resource-manager tags keys create TAG_KEY \ --parent projects/$PROJECT_ID \ --purpose GCE_FIREWALL \ --purpose-data network=$PROJECT_ID/NETWORK_NAME

2. Ensuite, créez trois TAG_VALUES, une pour chacune des règles de pare-feu :

gcloud resource-manager tags values create TAG_VALUE \ --parent=$PROJECT_ID/TAG_KEY gcloud resource-manager tags values create TAG_VALUE \ --parent=$PROJECT_ID/TAG_KEY gcloud resource-manager tags values create TAG_VALUE \ --parent=$PROJECT_ID/TAG_KEY Remarque : Lorsque vous créez des clés de Tags sécurisés, la valeur du champ --purpose doit être définie sur GCE_FIREWALL. Chacun de ces Tags sécurisés doit avoir un seul réseau VPC cible, et les Tags ne peuvent être associés qu'aux interfaces réseau de ce réseau VPC.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer des Tags sécurisés

Tâche 4 : Mapper les tags réseau et les comptes de service aux Tags

Après avoir créé des Tags sécurisés gérés par IAM pour chaque tag réseau utilisé par vos règles de pare-feu VPC, vous devez mapper les Tags aux tags réseau correspondants dans le fichier de mappage JSON.

• Modifiez le fichier JSON pour mapper les tags réseau aux Tags sécurisés correspondants. Vous pouvez utiliser l'éditeur Cloud Shell ou l'éditeur de votre choix, en respectant le format indiqué ci-dessous.

{ "external": "tagValues/the numeric value for TAG_VALUE", "ssh": "tagValues/the numeric value for TAG_VALUE", "web": "tagValues/the numeric value for TAG_VALUE" }

Le résultat de la commande précédente vous donnera la valeur numérique de TAG_VALUE.

Tâche 5 : Lier les Tags aux VM

En fonction du fichier JSON de mappage de tags, liez les Tags sécurisés que vous venez de créer aux VM auxquelles les tags réseau existants sont associés :

• Utilisez la commande compute firewall-rules migrate avec le flag --bind-tags-to-instances.

Remplacez les éléments suivants :

NETWORK_NAME : nom de votre réseau VPC.

TAG_MAPPING_FILE : nom du fichier de mappage JSON.

gcloud beta compute firewall-rules migrate \ --source-network=NETWORK_NAME \ --bind-tags-to-instances \ --tag-mapping-file=TAG_MAPPING_FILE Remarque : Le flag --bind-tags-to-instances ne lie les Tags sécurisés qu'aux VM en cours d'exécution. En outre, si les VM de votre réseau sont créées à l'aide de modèles d'instance ou si elles font partie d'un cluster Google Kubernetes Engine (GKE), vous devez lier manuellement les Tags sécurisés.

Cliquez sur Vérifier ma progression pour valider l'objectif. Lier les Tags aux VM

Tâche 6 : Migrer les règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale

• Migrez vos règles de pare-feu VPC vers une stratégie de pare-feu réseau mondiale à l'aide de la commande gcloud beta compute firewall-rules migrate.

Remplacez les éléments suivants :

NETWORK_NAME : nom du réseau VPC contenant les règles de pare-feu que vous souhaitez migrer. Remplacez-le par external-network.

POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale à créer lors de la migration.

gcloud beta compute firewall-rules migrate \ --source-network=NETWORK_NAME \ --tag-mapping-file=FILE_NAME \ --target-firewall-policy=POLICY_NAME Remarque : Pour exclure des règles de pare-feu spécifiques de la migration, utilisez le flag --exclusion-patterns-file, mais cela ne fait pas partie de cet atelier.

Cliquez sur Vérifier ma progression pour valider l'objectif. Migrer les règles de pare-feu VPC vers un pare-feu réseau mondial

Tâche 7 : Vérifier les tags de VM

Avant d'associer la stratégie mondiale que vous venez de créer à un réseau VPC, examinez-la pour vous assurer que le processus de migration est bien terminé.

Vérifiez si les Tags sécurisés sont associés à la VM appropriée. Utilisez la commande "resource-manager tags bindings list".

1. Dans la console, accédez à Réseaux VPC > Pare-feu.
2. Faites défiler la page vers le bas jusqu'à la section "Stratégies de pare-feu réseau" pour examiner la stratégie.
3. Cliquez sur le nom de la stratégie de pare-feu que vous avez créée.
4. Ouvrez la ligne de la règle de pare-feu pour afficher les Tags cibles et vérifiez qu'ils sont corrects.

Tâche 8 : Associer la stratégie de pare-feu réseau mondiale à votre réseau

L'outil de migration crée la stratégie de pare-feu de réseau mondiale en fonction des règles de pare-feu VPC existantes. Vous devez associer manuellement la stratégie au réseau VPC requis afin d'activer les règles de stratégie pour toutes les VM de ce réseau. Pour associer la stratégie de pare-feu réseau mondiale, utilisez la commande compute network-firewall-policies associations create.

• Toujours sur la page d'informations Stratégies de pare-feu, cliquez sur l'onglet Associations.
• Cliquez sur l'onglet Ajouter des associations.
• Cochez la case à côté de external-network, puis cliquez sur Associer.

Une fois l'association effectuée, les règles de la stratégie deviennent actives pour les VM appartenant au réseau associé.

Cliquez sur Vérifier ma progression pour valider l'objectif. Associer la stratégie de pare-feu réseau mondiale à votre réseau

Tâche 9 : Modifier l'ordre d'évaluation des stratégies et des règles

Par défaut, Cloud Next Generation Firewall évalue les règles de pare-feu VPC avant d'évaluer une stratégie de pare-feu réseau mondiale. Pour vous assurer que les stratégies de pare-feu réseau mondiales prévalent sur les règles de pare-feu VPC, inversez l'ordre d'évaluation des règles à l'aide de la commande compute networks update.

1. Remplacez NETWORK_NAME par le nom de votre réseau VPC.

gcloud compute networks update NETWORK_NAME \ --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

2. Pour vérifier si la stratégie de pare-feu réseau mondiale est évaluée avant les règles de pare-feu VPC, utilisez la commande compute networks get-effective-firewalls.

gcloud compute networks get-effective-firewalls NETWORK_NAME | grep "TYPE:"

Dans le résultat de la commande précédente, si TYPE: network-firewall-policy est affiché avant TYPE: network-firewall, la stratégie de pare-feu réseau mondiale est bien évaluée en premier.

Cliquez sur Vérifier ma progression pour valider l'objectif. Modifier l'ordre d'évaluation des stratégies et des règles

Tâche 10 : Activer la journalisation des règles de pare-feu

La journalisation des règles de pare-feu vous permet de réaliser des audits, des vérifications et des analyses sur les effets de ces règles. Par exemple, vous pouvez déterminer si une règle de pare-feu conçue pour refuser le trafic fonctionne comme prévu. La journalisation des règles de pare-feu est également utile si vous devez déterminer le nombre de connexions affectées par une règle de pare-feu donnée.

La journalisation vous aide à déterminer si une règle de pare-feu fonctionne comme prévu. L'outil de migration conserve l'état de journalisation des règles de pare-feu VPC existantes lors de la création de la stratégie de pare-feu réseau mondiale. Pour activer la journalisation des règles de stratégie de pare-feu, utilisez la commande compute network-firewall-policies rules update et ajoutez un ordre de priorité pour vous assurer que la stratégie mondiale prévaut sur les anciennes règles de pare-feu VPC.

Remplacez les éléments suivants :

POLICY_NAME : nom de la stratégie de pare-feu réseau mondiale à mettre à jour.

gcloud compute network-firewall-policies rules update 1000 --firewall-policy=POLICY_NAME --enable-logging --global-firewall-policy

Pour vérifier que la stratégie de pare-feu est associée au réseau, revenez à Réseau VPC dans la console Cloud, puis cliquez sur external-network > Pare-feu.

Remarque : Vous verrez la stratégie de pare-feu hiérarchique, qui s'applique à l'organisation.

Cliquez sur Vérifier ma progression pour valider l'objectif. Activer la journalisation des règles de pare-feu

Tâche 11 : Tester la stratégie de pare-feu réseau mondiale

La surveillance continue du nombre de hits révèle le passage progressif aux nouvelles règles, les anciennes règles finissant par ne plus recevoir aucun hit. À ce stade, vous devez pouvoir désactiver les anciennes règles, valider les éventuels impacts négatifs, puis supprimer les anciennes règles de pare-feu VPC.

Testez maintenant votre accès au niveau du réseau. Si vous vous trouvez sur les réseaux externes "approuvés", vous pouvez accéder aux ressources. Si ce n'est pas le cas, vous êtes bloqué.

Envoyez du trafic vers le réseau qui contient la règle de pare-feu mondiale. Vous devez obtenir l'adresse IP externe des VM qui se trouvent dans votre réseau VPC.

1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.
2. Copiez l'adresse IP externe de external-server.
3. Pinguez l'adresse IP externe pour envoyer du trafic :

ping -c 20 <Enter a external IP here>

Accédez maintenant à l'explorateur de journaux pour voir les résultats.

Vérifier les journaux

Dans la console, accédez à la page Explorateur de journaux.

1. Dans la barre de recherche Google Cloud, recherchez "logging", puis effectuez un clic droit sur Explorateur de journaux pour ouvrir un nouvel onglet.
2. Cliquez sur Toutes les ressources > Sous-réseau, puis sur Appliquer.
3. Parcourez les résultats et recherchez le nom des pare-feu. Vous remarquerez que le nom passe du pare-feu VPC à la stratégie de pare-feu mondiale. Vos résultats doivent ressembler à ceci :

FACULTATIF : Vérifier la connectivité

Pour ce test, vous allez utiliser Network Intelligence Center.

1. Dans la barre de recherche Google Cloud, recherchez "connectivité", puis sélectionnez Test de connectivité dans les résultats.
2. Activez l'API Network Management.
3. Vous devez obtenir l'adresse IP externe des VM qui se trouvent dans votre réseau VPC. Dans le menu de navigation, effectuez un clic droit sur Compute Engine pour ouvrir une nouvelle fenêtre, puis cliquez sur Instances de VM.
4. Copiez l'adresse IP externe de external-server.
5. Sur l'écran "Créer un test de connectivité", cliquez sur Créer un test de connectivité.
6. Nommez le test, puis collez l'adresse IP dans le champ Adresse IP source.
7. Revenez à l'onglet "Instances de VM", puis copiez l'adresse IP externe de internal-server-1.
8. Sur l'écran "Créer un test de connectivité", collez l'adresse IP dans le champ Destination.
9. Cliquez sur Créer.

Vous verrez que le test échoue, car aucune stratégie de règles de pare-feu n'autorise le trafic TCP vers internal-server-1.

Répétez le test en inversant la direction. Ajoutez l'adresse IP de internal-server-1 comme adresse IP source et celle de external-server comme destination.

Cliquez sur Vérifier ma progression pour valider l'objectif. Tester la stratégie de pare-feu réseau mondiale

Tâche 12 : Supprimer les règles de pare-feu VPC du réseau

Nous vous recommandons de désactiver les règles de pare-feu VPC avant de les supprimer complètement. Vous pouvez rétablir ces règles si la stratégie de pare-feu réseau mondiale créée par l'outil de migration ne fournit pas les résultats attendus. Pour cet atelier, passez directement à la suppression des règles de pare-feu VPC maintenant qu'elles ont été migrées vers la stratégie de pare-feu mondiale.

Veillez à utiliser les noms des règles de pare-feu individuelles.

1. Pour désactiver une règle de pare-feu VPC, utilisez la commande compute firewall-rules update.

Remplacez RULE_NAME par le nom de la règle de pare-feu VPC à désactiver.

gcloud compute firewall-rules update RULE_NAME --disabled

2. Pour supprimer une règle de pare-feu VPC, utilisez la commande compute firewall-rules delete.

gcloud compute firewall-rules delete RULE_NAME

Facultatif : Supprimez les règles de pare-feu dans la console.

1. Revenez à la console et accédez à Réseaux VPC.
2. Cliquez sur external-network, puis sur l'onglet Pare-feu.
3. Développez le bouton à bascule "Règles de réseau VPC".
4. Sélectionnez les deux règles de pare-feu, puis cliquez sur Supprimer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Supprimer les règles de pare-feu VPC du réseau

Félicitations

Vous avez appris à migrer une règle de pare-feu VPC contenant des tags vers une stratégie de pare-feu mondiale, à l'appliquer à deux réseaux, à vérifier qu'elle fonctionne et à désactiver les anciennes règles de pare-feu en vue de les supprimer.

Étapes suivantes

• Lisez l'article de blog sur la mise en réseau Google Cloud concernant la migration des anciennes règles de pare-feu VPC vers Cloud NGFW.
• Découvrez comment créer une règle de pare-feu nouvelle génération.
• Ajoutez cette page à vos favoris pour pouvoir consulter l'outil de migration des règles de pare-feu VPC ultérieurement.
• Lisez les articles suivants sur les rôles IAM concernant les stratégies de pare-feu réseau mondiales et les rôles IAM pour les tags.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 3 avril 2025

Dernier test de l'atelier : 3 avril 2025

Copyright 2026 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.