プロトコル転送の使用

Compute Engine はプロトコル転送機能をサポートしています。この機能を使用して、NAT 処理されないターゲットインスタンスにパケットを送信できる転送ルールオブジェクトを作成できます。各ターゲットインスタンスには、対応する転送ルールからトラフィックを受け取って処理する単一の仮想マシン（VM）インスタンスが含まれています。

プロトコルの転送は、次のようなさまざまな状況で使用できます。

IP ごとの仮想ホスティング

1 つのターゲットインスタンスをポイントする複数の転送ルールを設定すると、複数の外部 IP アドレスを 1 つの VM インスタンスに使用できます。これは、1 つの VM インスタンスから複数の外部 IP アドレス経由でデータを提供する場合に使用できます。特に、SSL 仮想ホスティングを設定する場合に便利です。
仮想プライベートネットワーク（VPN）

詳しくは、次をご覧ください。
- 動的ルーティングを使用する Classic VPN の作成
- 静的ルーティングを使用する Classic VPN の作成
プライベート VIP

プライベート（RFC 1918）アドレスを使用するプライベートリージョン転送ルールのプロトコル転送を使用できます。この機能を使用して、TCP または UDP トラフィックを同じリージョン内のターゲットインスタンスに送信するプライベート転送ルールを構成します。プライベートリージョン転送ルールを、ターゲットインスタンスの使用からバックエンドサービスに、またはその逆に切り替えることもできます。
負荷分散

ロードバランサへのトラフィックの転送については、転送ルールのコンセプトをご覧ください。

IP、仮想プライベートネットワーク（VPN）、負荷分散による仮想ホスティングの場合、Compute Engine は次のプロトコルのプロトコル転送をサポートしています。

AH: IP 認証ヘッダープロトコルを指定します。
ESP: IP カプセル化セキュリティペイロードプロトコルを指定します。
ICMP: インターネット制御メッセージプロトコルを指定します。
SCTP: ストリーム制御伝送プロトコルを指定します。
TCP: 伝送制御プロトコルを指定します。
UDP: ユーザーデータグラムプロトコルを指定します。

プライベート VIP の場合は、TCP と UDP のみがサポートされます。

TCP: 伝送制御プロトコルを指定します。
UDP: ユーザーデータグラムプロトコルを指定します。

プロトコル転送は、負荷分散サービスと同じレートで課金されます。詳細については、料金のページをご覧ください。

クイックスタート

このクイックスタートは、bash を十分に理解していることを前提としています。

1 つのインスタンスにトラフィックを送信する転送ルールを作成するには、次を行う必要があります。

ターゲットインスタンスを作成します。

ターゲットインスタンスは単一の VM インスタンスです。このインスタンスは、ターゲットインスタンスを作成する前に用意しておいても、後で作成してもかまいません。
転送ルールを作成します。

ターゲットインスタンスは、転送ルールを作成する前に用意しておく必要があります。着信パケットが、転送ルールによって処理される IP、プロトコル、および（該当する場合は）ポート範囲と一致する場合、転送ルールはそのトラフィックをターゲットインスタンスに送信します。

このクイックスタートの残りの部分では、上記の手順を以下の順で詳しく説明します。

VM インスタンスに Apache サーバーを設定します。
ターゲットインスタンスと、対応する転送ルールを作成します。
1 つのターゲットインスタンスにトラフィックを送信します。

このクイックスタートを完了すると、複数の転送ルールから 1 つのターゲットインスタンスに転送するプロトコルを設定する方法がわかります。

VM インスタンスの設定と Apache のインストール

Apache をインストールして単一の VM インスタンスを作成するには:

新しいインスタンス用のスタートアップスクリプトをいくつか作成します。

オペレーティングシステムによって、スタートアップスクリプトに含まれる内容が以下のように異なる場合があります。

インスタンスで Debian イメージを使用する予定の場合、次のコマンドを実行します。

    me@local:~$ echo "sudo apt-get update && sudo apt-get -y install apache2 && mkdir -p /var/www1 &&
    mkdir -p /var/www2 && mkdir -p /var/www3 && hostname > /var/www/html/index.html &&
    echo w1 > /var/www1/index.html && echo w2 > /var/www2/index.html && echo w3 > /var/www3/index.html" > 

    $HOME/pf_startup.sh

インスタンスで CentOS イメージを使用する予定の場合、次のコマンドを実行します。

    me@local:~$ echo "sudo yum -y install httpd && sudo service httpd restart && mkdir -p /var/www1 &&
    mkdir -p /var/www2 && mkdir /var/www3 && hostname > /var/www/html/index.html &&
    echo w1 > /var/www1/index.html && echo w2 > /var/www2/index.html && echo w3 > /var/www3/index.html" > 

    $HOME/pf_startup.sh

将来的に使用する VM 用にタグを作成し、後でそれにファイアウォールを適用できるようにします。
```
    me@local:~$ TAG="www-tag"
    
```

転送ルールに応じてトラフィックを処理する、新しい VM インスタンスを作成します。

gcloud compute instances create pf-instance \
        --image-project debian-cloud --image-family debian-9 --tags $TAG \
        --metadata-from-file startup-script=$HOME/pf_startup.sh

こうした VM インスタンスへの外部トラフィックを許可するファイアウォールルールの作成します。
```
gcloud compute firewall-rules create www-firewall --target-tags $TAG --allow tcp
    
```

これで、VM インスタンスが正常に設定されました。ここで、プロトコルの転送構成の設定を開始できます。

ターゲットインスタンスと、対応する転送ルールの作成

ターゲットインスタンスを作成します。

ターゲットインスタンスには、転送ルールからトラフィックを受け取り、処理する単一の VM インスタンスが含まれています。ターゲットインスタンスには NAT ポリシーがないため、それらのインスタンスを使用して、IPsec プロトコルを直接使用する独自の VPN 接続を設定できます。

転送ルールは既存のターゲットリソースを参照する必要があるため、転送ルールオブジェクトを作成する前にターゲットインスタンスを作成しておく必要があります。存在しないターゲットリソースにトラフィックを送信する転送ルールを作成することはできません。この例では、次のようにしてターゲットインスタンスを作成します。
```
gcloud compute target-instances create pf-target-instance --instance pf-instance
    
```
転送ルールオブジェクトを作成します。

転送ルールオブジェクトは、IP プロトコルとポートに一致するトラフィックを、指定したターゲットインスタンスに送信します。詳細については、転送ルールのドキュメントをご覧ください。

この例では、次のコマンドによって 3 つの転送ルールが作成されます。それぞれに、TCP トラフィックをターゲットインスタンスに転送するエフェメラル IP アドレスがあります。複数の静的外部 IP アドレスがある場合は、必要に応じて --address IP-ADDRESS フラグを指定して、それらの IP アドレスを転送ルールで使用できます。
```
gcloud compute forwarding-rules create pf-rule1 --ip-protocol TCP \
        --ports 80 --target-instance pf-target-instance
    
```
```
gcloud compute forwarding-rules create pf-rule2 --ip-protocol TCP \
        --ports 80 --target-instance pf-target-instance
    
```
```
gcloud compute forwarding-rules create pf-rule3 --ip-protocol TCP \
        --ports 80 --target-instance pf-target-instance
    
```

ターゲットインスタンスへのトラフィックの送信を開始できるようになりました。

インスタンスへのトラフィックの送信

新しい転送ルールの外部 IP アドレスを取得します。

gcloud compute forwarding-rules list を実行して、転送ルールの外部 IP アドレスを取得します。たとえば、次の表には以前に作成した転送ルールに割り振られたエフェメラル IP アドレスのリストが示されています。

予約された IP アドレスを使用するように選択していると、エフェメラル IP アドレスの代わりに、それらのアドレスがここに表示されます。
```
gcloud compute forwarding-rules list
    
```
```
    NAME     REGION      IP_ADDRESS     IP_PROTOCOL TARGET
    pf-rule1 us-central1 [ADDRESS_1]    TCP         us-central1-a/targetInstances/pf-target-instance
    pf-rule2 us-central1 [ADDRESS_2]    TCP         us-central1-a/targetInstances/pf-target-instance
    pf-rule3 us-central1 [ADDRESS_3]    TCP         us-central1-a/targetInstances/pf-target-instance
```
次の手順に備えて IP アドレスをメモしておきます。

宛先 URL に基づいて異なる情報を提供するように、VM インスタンスの Apache 仮想ホストを構成します。

まず、インスタンスに接続します。

gcloud compute ssh pf-instance

次に、/etc/apache2/sites-enabled/000-default.conf ファイルを編集して次の行を追加します。VirtualHostcd .. 行には、前の手順で確認した IP アドレスを使用します。

<VirtualHost [ADDRESS_1]>
     DocumentRoot /var/www1
     <Directory /var/www1>
      Require all granted
     </Directory>
    </VirtualHost>
    <VirtualHost [ADDRESS_2]>
     DocumentRoot /var/www2
     <Directory /var/www2>
      Require all granted
     </Directory>
    </VirtualHost>
    <VirtualHost [ADDRESS_3]>
     DocumentRoot /var/www3
     <Directory /var/www3>
      Require all granted
     </Directory>
    </VirtualHost>

最後に、Apache を再始動します。

    user@myinst:~$ sudo /etc/init.d/apache2 restart

いくつかのトラフィックをインスタンスに送信してみます。

ローカルマシンで、作成した転送ルールによって処理される外部 IP アドレスへのリクエストを作成します。

次に、curl を使用して IP アドレスにトラフィックを送信します。IP アドレスに応じて、w1、w2、または w3 のレスポンスが返されます。
```
    me@local:~$curl [ADDRESS_1]
    w1
    
```
```
    me@local:~$ curl [ADDRESS_2]
    w2
    
```
```
    me@local:~$ curl [ADDRESS_3]
    w3
    
```
プロトコル転送の構成が完了しました。

転送ルール

転送ルールはターゲットプールおよびターゲットインスタンスと連携して機能し、負荷分散機能とプロトコル転送機能をサポートします。負荷分散とプロトコル転送を使用するには、トラフィックを特定のターゲットプール（負荷分散の場合）またはターゲットインスタンス（プロトコル転送の場合）に振り向ける転送ルールを作成する必要があります。転送ルールを設定することなく、これらの機能を使用することはできません。

転送ルールのリソースは転送ルールのコレクションに含まれています。各転送ルールでは、特定の IP アドレス、プロトコル、およびポート範囲（オプション）が、単一のターゲットプールまたはターゲットインスタンスに一致します。トラフィックが転送ルールから提供される外部 IP アドレスに送信されると、転送ルールによって、対応するターゲットプールまたはターゲットインスタンスにそのトラフィックが振り向けられます。プロジェクトごとに、最大 50 個の転送ルールオブジェクトを作成できます。

転送ルールを扱うときに注意する必要のある点を以下に示します。

転送ルールの名前はこのプロジェクト内で固有であり、63 文字以内の長さで、正規表現 [a-z]([-a-z0-9]*[a-z0-9])? と一致している必要があります。この正規表現は、先頭文字に小文字を使用し、残りの文字には、ダッシュ、小文字、数字を使用する必要があることを示しています。ただし最後の文字にはダッシュを使用できません。
転送ルールのプロトコルを指定しなかった場合は、デフォルトの TCP が使用されます。また、一部のプロトコルはターゲットプールまたはターゲットインスタンスでのみ使用可能になることにも注意します。
- ESP、AH、SCTP、ICMP を使用するには、ターゲットインスタンスを指定する必要があります。これらのプロトコルを使用する場合、ターゲットプールを指定することはできません。
- TCP または UDP を使用する場合は、ターゲットプールまたはターゲットインスタンスのいずれかを指定できます。
ポート範囲は、TCP、UDP、SCTP プロトコルでのみ使用できます。

転送ルールの追加

gcloud compute forwarding-rules create コマンドを使用したり、転送ルールコレクションに対する HTTP POST リクエストを作成したりして、新しい転送ルールを追加できます。gcloud コマンドラインツールを使用してターゲットインスタンスへの転送ルールを作成する例を次に示します。

gcloud compute forwarding-rules create [FORWARDING_RULE] \
        --load-balancing-scheme internal | external \
        --region [REGION] \
        [--target-instance-zone [ZONE]] \
        --ip-protocol TCP --ports 80 \
        --target-instance [TARGET_INSTANCE]

--target-instance-zone フラグが省略された場合、gcloud config set compute/zone によって compute/zone プロパティが設定されていなければ、gcloud コマンドラインツールはゾーンの選択を求めるプロンプトを表示します。詳細については、デフォルトのゾーンとリージョンの設定をご覧ください。

gcloud compute forwarding-rules create コマンドでは、負荷分散スキームが内部である場合にターゲットインスタンスをターゲットとして設定することをサポートします。

次に示すのは、ターゲットプールへの転送ルールを作成する例です。

gcloud compute forwarding-rules create [FORWARDING_RULE] \
        --target-pool [TARGET_POOL] \
        [--region [REGION]]

--region フラグが省略された場合、gcloud config set compute/region によって compute/region プロパティが設定されていなければ、gcloud コマンドラインツールはリージョンの選択を求めるプロンプトを表示します。詳細については、デフォルトのゾーンとリージョンの設定をご覧ください。

使用可能なフラグの詳細については、転送ルールの create コマンドを参照するか、「gcloud compute forwarding-rules create --help」と入力します。

API を使用して転送ルールを追加するには、次の URI に対して HTTP POST リクエストを実行します。

https://compute.googleapis.com/compute/v1/projects/myproject/regions/us-central1/forwardingRules

リクエストの本文には、次のフィールドが含まれている必要があります。

{
     "name": "example-forwarding-rule",
     "IPAddress": "`10.1.1.1",
     "IPProtocol": "TCP",
     "portRange": "80",
     "target": "zones/us-central1-f/targetInstances/example-target-instances"
    }

転送ルールの一覧表示、特定の転送ルールの情報の取得、転送ルールの削除については、gcloud SDK と API のリファレンスページをご覧ください。

ターゲットインスタンス

ターゲットインスタンスリソースには、1 つ以上の転送ルールからのトラフィックを処理する 1 つの仮想マシンインスタンスが含まれており、単一のソース（ESP や AH など）によって管理される必要のある特定のタイプのプロトコルトラフィックを転送するのに理想的ですが、TCP プロトコルと UDP プロトコルにターゲットインスタンスを使用することもできます。ターゲットインスタンスには、適用されている NAT ポリシーがないため、仮想プライベートネットワーク（VPN）に対して NAT 処理されない IPsec トラフィックが必要なトラフィックに使用できます。

ターゲットインスタンスは、転送ルールと同じリージョンに存在する必要があります。また、ターゲットインスタンスは、VM インスタンスと同じゾーンに存在する必要もあります。たとえば、転送ルールが us-central1 に存在し、使用するインスタンスが us-central1-a に存在する場合、ターゲットインスタンスは us-central1-a に存在する必要があります。インスタンスが us-central1-b に存在する場合、ターゲットインスタンスも us-central1-b に存在する必要があります。

ターゲットインスタンスの追加

新しいターゲットインスタンスを追加するには、gcloud compute target-instances コマンドを使用するか、targetInstances コレクションに対する HTTP POST リクエストを作成します。Cloud Console からターゲットインスタンスリソースを作成することはできません。次に、gcloud コマンドラインツールを使用してターゲットインスタンスを作成する例を示します。

gcloud compute target-instances create [TARGET_INSTANCE] --instance INSTANCE

--zone フラグが省略された場合、gcloud config set compute/zone によって compute/zone プロパティが設定されていなければ、gcloud コマンドラインツールはゾーンの選択を求めるプロンプトを表示します。詳細については、デフォルトのゾーンとリージョンの設定をご覧ください。

使用可能なフラグの詳細については、create コマンドを参照するか、「gcloud compute target-instances create --help」と入力します。

API で、次の URI に HTTP POST リクエストを送ります。

https://compute.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f/targetInstances

次のリクエスト本文を使用します。

body = {
      "name": "example-target-instance",
      "instance": "zones/us-central1-f/instances/example-instance"
    }

ターゲットインスタンスの一覧表示、特定のターゲットインスタンスの情報の取得、ターゲットインスタンスの削除については、gcloud SDK と API のリファレンスページをご覧ください。

プライベート VIP のためのプロトコル転送

プロトコル転送は、プライベート（RFC 1918）アドレスを使用するプライベートリージョン転送ルールに使用できます。この機能を使用して、TCP または UDP トラフィックを同じリージョン内のターゲットインスタンスに送信するプライベート転送ルールを構成します。プライベートリージョン転送ルールを、ターゲットインスタンスの使用からバックエンドサービスに、またはその逆に、簡単に切り替えることもできます。

ターゲットインスタンスには、1 つ以上の転送ルールからのトラフィックを処理する 1 つのバックエンドインスタンスが含まれます。各ターゲットインスタンスをポイントする 1 つのプライベート転送ルールのみを構成できます。

次の状況では、プライベート転送ルールとともにプロトコル転送を使用します。

サービス用に単一のバックエンドインスタンスをデプロイし、ヘルスチェックやその他の側面を自分で管理する場合。
転送ルールのプライベート IP アドレスを保持しながら、転送ルールがポイントするターゲットインスタンスを変更する場合。
デプロイを安定させるために、転送ルールのプライベート IP アドレスを変更せずに単一のインスタンス（ターゲットインスタンス）から複数のバックエンドインスタンス（バックエンドサービス）に簡単に移動できるようにする場合。

ターゲットインスタンスとバックエンドサービスの間の移行

プライベート転送ルールを、1 つの VM インスタンスのあるターゲットインスタンスへのトラフィック転送からバックエンドサービスへのトラフィック転送に更新できます。また、その逆にするように更新することもできます。このようにプライベート転送ルールを更新すると、転送ルールの IP アドレスが保持されます。変更によってバックエンドサービスインスタンスの負荷分散が有効または無効になるため、この移行中に既存の接続が中断される可能性があります。

ターゲットインスタンスとバックエンドサービスの間での移行には、プライベート転送ルールのみを使用できます。外部転送ルールを使用したプロトコル転送では、これを行うことができません。

プライベート転送ルールのターゲットの更新

転送ルールがプライベート転送ルールの場合、ターゲットインスタンスをポイントするのではなく、バックエンドサービスをポイントするように変更できます。

    gcloud compute forwarding-rules set-target my-forwarding-rule
            --backend-service my-backend-service

ターゲットインスタンスに戻すには次のようにします。

    gcloud compute forwarding-rules set-target my-forwarding-rule
            --target-instance my-target-instance

プライベート転送ルールのプロトコル転送のトラブルシューティング

リージョン制限

プライベート転送ルールのプロトコル転送はリージョン単位のプロダクトです。すべてのクライアントとターゲットインスタンス VM は、同じリージョンに存在する必要があります。

エラーメッセージ: 「An internal target instance can only be the target of one forwarding rule」

「An internal target instance can only be the target of one forwarding rule」というエラーメッセージが表示される場合、同じターゲットインスタンスをポイントする 2 つの転送ルールを構成しようとしている可能性があります。複数の転送ルールで同じターゲットインスタンスをポイントすることはできません。

制限事項

プライベート転送ルールでターゲットインスタンスを使用する場合、サポートされるプロトコルは TCP と UDP だけです。

上限

ネットワークごとに、ターゲットインスタンスをポイントする 100 個のプライベート転送ルールを構成できます。
プライベート転送ルールごとに 5 つのポートを使用できます。