Google Compute Engine はプロトコル転送機能をサポートしています。この機能を使用して、NAT 処理されないターゲット インスタンスにパケットを送信できる転送ルール オブジェクトを作成できます。各ターゲット インスタンスには、対応する転送ルールからトラフィックを受け取って処理する単一の仮想マシン インスタンスが含まれています。
プロトコルの転送は、次のようなさまざまな状況で使用できます。
-
IP ごとの仮想ホスティング
1 つのターゲット インスタンスをポイントする複数の転送ルールを設定して、1 つの仮想マシン インスタンスが設定された複数の外部 IP アドレスを使用できるように設定できます。これは、1 つの仮想マシン インスタンスからデータを供給するが、複数の外部 IP アドレス経由でそのデータを供給したい場合に使用できます。特にこれは、SSL 仮想ホスティングを設定する場合に便利です。
-
仮想プライベート ネットワーク(VPN)
VPN で転送ルールを使用する方法については、VPN をご覧ください。
-
プライベート VIP
プライベート(RFC 1918)アドレスを使用するプライベート リージョン転送ルールのプロトコル転送を使用できます。この機能を使用して、TCP または UDP トラフィックを同じリージョン内のターゲット インスタンスに送信するプライベート転送ルールを構成します。プライベート リージョン転送ルールを、ターゲット インスタンスを使用したバックエンド サービスからバックエンド サービスに、またはその逆に切り替えることもできます。
-
負荷分散
ロードバランサにトラフィックを転送する方法については、負荷分散を参照してください。
IP、仮想プライベート ネットワーク(VPN)、負荷分散による仮想ホスティングの場合、Google Compute Engine は次のプロトコルのプロトコル転送をサポートしています。
AH: IP 認証ヘッダー プロトコルを指定します。ESP: IP カプセル化セキュリティ ペイロード プロトコルを指定します。ICMP: インターネット コントロール メッセージ プロトコルを指定します。SCTP: ストリーム制御伝送プロトコルを指定します。TCP: 伝送制御プロトコルを指定します。UDP: ユーザー データグラム プロトコルを指定します。
プライベート VIP の場合は、TCP と UDP のみがサポートされます。
TCP: 伝送制御プロトコルを指定します。UDP: ユーザー データグラム プロトコルを指定します。
プロトコル転送は、負荷分散サービスと同じレートで課金されます。詳細については、価格に関するページをご覧ください。
クイックスタート
このクイックスタートでは、bash の知識があることを前提としています。
1 つのインスタンスにトラフィックを送信する転送ルールを作成するには、次を行う必要があります。
-
ターゲット インスタンスを作成します。
ターゲット インスタンスには 1 つの仮想マシン インスタンスが含まれますが、この仮想マシン インスタンスはターゲット インスタンスを作成するときにすでに作成されていても、後で作成してもかまいません。
-
転送ルールを作成します。
ターゲット インスタンスは、転送ルールを作成する前に用意しておく必要があります。着信パケットが、転送ルールによって処理される IP、プロトコル、および(該当する場合は)ポート範囲と一致する場合、転送ルールはそのトラフィックをターゲット インスタンスに送信します。
このクイックスタートの残りの部分では、上記の手順を以下の順で詳しく説明します。
このクイックスタートを完了すると、複数の転送ルールから 1 つのターゲット インスタンスに転送するプロトコルを設定する方法がわかります。
仮想マシン インスタンスの設定と Apache のインストール
最初に、Apache をインストールして単一の仮想マシン インスタンスを作成します。
-
新しいインスタンス用のいくつかのスタートアップ スクリプトを作成します。
オペレーティング システムによって、スタートアップ スクリプトに含まれる内容が以下のように異なる場合があります。
-
インスタンスで Debian イメージを使用する場合、次のコマンドを実行します。
me@local:~$ echo "sudo apt-get update && sudo apt-get -y install apache2 && mkdir -p /var/www1 && mkdir -p /var/www2 && mkdir -p /var/www3 && hostname > /var/www/html/index.html && echo w1 > /var/www1/index.html && echo w2 > /var/www2/index.html && echo w3 > /var/www3/index.html" > \ $HOME/pf_startup.sh -
インスタンスで CentOS イメージを使用する場合、次のコマンドを実行します。
me@local:~$ echo "sudo yum -y install httpd && sudo service httpd restart && mkdir -p /var/www1 && mkdir -p /var/www2 && mkdir /var/www3 && hostname > /var/www/html/index.html && echo w1 > /var/www1/index.html && echo w2 > /var/www2/index.html && echo w3 > /var/www3/index.html" > \ $HOME/pf_startup.sh
-
-
将来の仮想マシン用にタグを作成し、後でそれにファイアウォールを適用できるようにします。
me@local:~$ TAG="www-tag" -
転送ルールに応じてトラフィックを処理する、新しい仮想マシン インスタンスを成します。
gcloud compute instances create pf-instance \ --image-project debian-cloud --image-family debian-9 --tags $TAG \ --metadata-from-file startup-script=$HOME/pf_startup.sh -
この仮想マシン インスタンスに外部トラフィックを許可するファイアウォール ルールを作成します。
gcloud compute firewall-rules create www-firewall --target-tags $TAG --allow tcp
これで、仮想マシン インスタンスが正常に設定されました。ここで、プロトコルの転送構成の設定を開始できます。
ターゲット インスタンスと、対応する転送ルールの作成
-
ターゲット インスタンスを作成します。
ターゲット インスタンスには、転送ルールからトラフィックを受け取り、処理する単一の仮想マシン インスタンスが含まれています。ターゲット インスタンスには NAT ポリシーがないため、それらのインスタンスを使用して、IPsec プロトコルを直接使用する独自の VPN 接続を設定できます。
転送ルールは既存のターゲット リソースを参照する必要があるため、転送ルールを作成するには、ターゲット インスタンスを作成しておく必要があります。存在しないターゲット リソースにトラフィックを送信する転送ルールを作成することはできません。この例では、次のようにしてターゲット インスタンスを作成します。
gcloud compute target-instances create pf-target-instance --instance pf-instance -
転送ルール オブジェクトを作成します。
転送ルール オブジェクトは、IP プロトコルとポートに一致するトラフィックを、指定したターゲット インスタンスに送信します。詳細については、転送ルールの説明をご覧ください。
この例では、次のコマンドによって 3 つの転送ルールが作成されます。それぞれに、TCP トラフィックをターゲット インスタンスに転送するエフェメラル IP アドレスがあります。複数の静的外部 IP アドレスがある場合は、
--address IP-ADDRESSフラグを指定し、転送ルールで使用することもできます。gcloud compute forwarding-rules create pf-rule1 --ip-protocol TCP \ --ports 80 --target-instance pf-target-instancegcloud compute forwarding-rules create pf-rule2 --ip-protocol TCP \ --ports 80 --target-instance pf-target-instancegcloud compute forwarding-rules create pf-rule3 --ip-protocol TCP \ --ports 80 --target-instance pf-target-instance
これで作業は完了です。ターゲット インスタンスへのトラフィックの送信を開始できるようになりました。
インスタンスへのトラフィックの送信
-
新しい転送ルールの外部 IP アドレスを取得します。
gcloud compute forwarding-rules listを実行して、転送ルールの外部 IP アドレスを取得します。たとえば、次の表には以前に作成した転送ルールに割り振られたエフェメラル IP アドレスのリストが示されています。予約された IP アドレスを使用するように選択すると、エフェメラル IP アドレスの代わりに、それらのアドレスがここに表示されます。
gcloud compute forwarding-rules listNAME REGION IP_ADDRESS IP_PROTOCOL TARGET pf-rule1 us-central1 [ADDRESS_1] TCP us-central1-a/targetInstances/pf-target-instance pf-rule2 us-central1 [ADDRESS_2] TCP us-central1-a/targetInstances/pf-target-instance pf-rule3 us-central1 [ADDRESS_3] TCP us-central1-a/targetInstances/pf-target-instance
次の手順で使用するため、IP アドレスをメモしておきます。
-
宛先 URL に基づいて異なる情報を処理するように、仮想マシン インスタンスの Apache 仮想ホストを構成します。
まず、インスタンスに SSH を設定します。
gcloud compute ssh pf-instance次に、
/etc/apache2/sites-enabled/000-default.confファイルを編集して次の行を追加します。VirtualHostcd .. 行には、前の手順で確認した IP アドレスを使用します。<VirtualHost [ADDRESS_1]> DocumentRoot /var/www1 <Directory /var/www1> Require all granted </Directory> </VirtualHost> <VirtualHost [ADDRESS_2]> DocumentRoot /var/www2 <Directory /var/www2> Require all granted </Directory> </VirtualHost> <VirtualHost [ADDRESS_3]> DocumentRoot /var/www3 <Directory /var/www3> Require all granted </Directory> </VirtualHost>最後に、Apache を再始動します。
user@myinst:~$ sudo /etc/init.d/apache2 restart -
いくつかのトラフィックをインスタンスに送信してみます。
ローカルマシンで、作成した転送ルールによって処理される外部 IP アドレスへのリクエストを作成します。
次に、
curlを使用して IP アドレスにトラフィックを送信します。IP アドレスに応じて、w1、w2、またはw3の応答が返されます。me@local:~$curl [ADDRESS_1] w1
me@local:~$ curl [ADDRESS_2] w2
me@local:~$ curl [ADDRESS_3] w3
これで作業は完了です。最初のプロトコル転送構成が設定されました。
転送ルール
転送ルールはターゲット プールおよびターゲット インスタンスと連携して機能し、負荷分散機能とプロトコル転送機能をサポートします。負荷分散とプロトコル転送を使用するには、トラフィックを特定のターゲット プール(負荷分散の場合)またはターゲット インスタンス(プロトコル転送の場合)に振り向ける転送ルールを作成する必要があります。転送ルールを設定することなく、これらの機能を使用することはできません。
転送ルールのリソースは転送ルールのコレクションに含まれています。各転送ルールでは、特定の IP アドレス、プロトコル、およびポート範囲(オプション)と、単一のターゲット プールまたはターゲット インスタンスが照合されます。トラフィックが転送ルールから提供される外部 IP アドレスに送信されると、転送ルールによって、対応するターゲット プールまたはターゲット インスタンスにそのトラフィックが振り向けられます。プロジェクトごとに、最大 50 個の転送ルール オブジェクトを作成できます。
転送ルールを扱うときに注意する必要のある点を以下に示します。
-
転送ルールの名前はこのプロジェクト内で固有であり、63 文字以内の長さで、正規表現
[a-z]([-a-z0-9]*[a-z0-9])?と一致している必要があります。 この正規表現は、先頭文字に小文字を使用し、残りの文字には、ダッシュ、小文字、数字を使用する必要があることを示しています。ただし最後の文字にはダッシュを使用できません。 -
転送ルールのプロトコルを指定しなかった場合は、デフォルトの
TCPが使用されます。また、特定のプロトコルはターゲット プールまたはターゲット インスタンスとしてしか使用できないことにも注意してください。ESP、AH、SCTP、ICMPを使用する場合、ターゲット インスタンスを指定する必要があります。これらのプロトコルを使用する場合、ターゲット プールを指定することはできません。TCPまたはUDPを使用する場合は、ターゲット プールまたはターゲット インスタンスのいずれかを指定できます。
-
ポート範囲は、
TCP、UDP、SCTPプロトコルでのみ使用できます。
転送ルールの追加
gcloud compute forwarding-rules create コマンドを使用したり、転送ルール コレクションに対する HTTP POST リクエストを作成したりして、新しい転送ルールを追加できます。gcloud コマンドライン ツールを使用してターゲット インスタンスに転送ルールを作成する例を次に示します。
gcloud compute forwarding-rules create [FORWARDING_RULE] \
--load-balancing-scheme internal | external \
--region [REGION] \
[--target-instance-zone [ZONE]] \
--ip-protocol TCP --ports 80 \
--target-instance [TARGET_INSTANCE]
gcloud config set compute/zone によって compute/zone プロパティが設定されておらず、--target-instance-zone フラグが省略された場合、gcloud コマンドライン ツールはゾーンの選択を求めるプロンプトを表示します。詳細については、デフォルトのゾーンとリージョンの設定をご覧ください。
gcloud compute forwarding-rules create コマンドでは、負荷分散スキームが内部である場合にターゲット インスタンスをターゲットとして設定することがサポートされます。
ターゲット プールへの転送ルールを作成する例を以下に示します。
gcloud compute forwarding-rules create [FORWARDING_RULE] \
--target-pool [TARGET_POOL] \
[--region [REGION]]
gcloud config set compute/region によって compute/region プロパティが設定されておらず、--region フラグが省略された場合、gcloud コマンドライン ツールはリージョンの選択を求めるプロンプトを表示します。詳細については、デフォルトのゾーンとリージョンの設定をご覧ください。
使用できるフラグの詳細な説明については、転送ルールの create コマンドを参照するか、gcloud compute forwarding-rules create --help と入力してください。
API を使用して転送ルールを追加するには、次の URI に対して HTTP POST リクエストを実行します。
https://www.googleapis.com/compute/v1/projects/myproject/regions/us-central1/forwardingRules
リクエスト ボディには、次のフィールドが含まれている必要があります。
{
"name": "example-forwarding-rule",
"IPAddress": "`10.1.1.1",
"IPProtocol": "TCP",
"portRange": "80",
"target": "zones/us-central1-f/targetInstances/example-target-instances"
}
転送ルールの一覧取得
gcloud コマンドライン ツールを使用した転送ルールのリストを取得するには、list コマンドを使用します。
gcloud compute forwarding-rules list
API の場合は、次の URI に空の HTTP GET リクエストを行います。
https://www.googleapis.com/compute/v1/project/myproject/regions/us-central1/forwardingRules
転送ルールに関する情報の取得
gcloud コマンドライン ツールを使用した単一転送ルールに関する情報を取得するには、describe コマンドを使用します。
gcloud compute forwarding-rules describe [FORWARDING_RULE] [--region [REGION] | --global]
--region フラグまたは --global フラグが省略された場合、gcloud コマンドライン ツールはリージョン転送ルールの操作が行われていると判断します。その際に、gcloud config set compute/region によって compute/region プロパティが設定されていない場合、リージョンの選択を求めるプロンプトが表示されます。詳細については、デフォルトのゾーンとリージョンの設定をご覧ください。
API の場合は、次の URI に空の HTTP GET リクエストを行います。
https://www.googleapis.com/compute/v1/project/myproject/regions/us-central1/forwardingRules/example-forwarding-rule
転送ルールのターゲットの更新
転送ルールをすでに作成したものの、転送ルールが使用するターゲット プールを変更する場合、gcloud コマンドライン ツールの set-target コマンドを使用して変更できます。
gcloud compute forwarding-rules set-target [FORWARDING_RULE] --target-pool [TARGET_POOL] \
[--region [REGION] | --global]
API の場合は、次の URI に HTTP POST リクエストを行います。
https://www.googleapis.com/compute/v1/projects/myproject/regions/us-central1/forwardingRules/example-forwarding-rule/setTarget
リクエスト ボディには、設定するターゲット インスタンスまたはターゲット プールに対する URL が含まれている必要があります。たとえば、ターゲット プールの場合、URI は次のような形式にする必要があります。
{
"target": "https://www.googleapis.com/compute/v1/projects/myproject/regions/us-central1/targetPools/example-target-pool"
}
転送ルールの削除
gcloud コマンドライン ツールを使用して転送ルールを削除するには、delete コマンドを使用します。
gcloud compute forwarding-rules delete [FORWARDING_RULE] [--region [REGION] | --global]
API から転送ルールを削除するには、次の URI に対してリクエストの本文が空の HTTP DELETE リクエストを行います。
https://www.googleapis.com/compute/v1/project/myproject/regions/us-central1/forwardingRules/example-forwarding-rule
ターゲット インスタンス
ターゲット インスタンス リソースには、1 つ以上の転送ルールからトラフィックを処理する 1 つの仮想マシン インスタンスが含まれており、単一のソース(AH や ESP など)によって管理される必要のある特定のタイプのプロトコル トラフィックを転送するのに理想的ですが、TCP および UDP プロトコルにはターゲット インスタンスを使用することもできます。ターゲット インスタンスには、それらに適用されている NAT ポリシーがないため、仮想プライベート ネットワーク(VPN)に対して NAT 処理されない IPsec トラフィックが必要なトラフィックに使用できます。
ターゲット インスタンスは転送ルールと同じリージョンに存在している必要があります。また、ターゲット インスタンスは仮想マシン インスタンスと同じゾーンに入っている必要もあります。たとえば、転送ルールが us-central1 にあり、使用するインスタンスが us-central1-a にある場合、ターゲット インスタンスは us-central1-a に入っている必要があります。インスタンスが us-central1-b にある場合、ターゲット インスタンスも us-central1-b に入っている必要があります。
ターゲット インスタンスの追加
新しいターゲット インスタンスを追加するには、gcloud compute target-instances コマンドを使用するか、targetInstances コレクションに対する HTTP POST リクエストを作成します。GCP Console からターゲット インスタンス リソースを作成することはできません。gcloud コマンドライン ツールを使用してターゲット インスタンスを作成する例を以下に示します。
gcloud compute target-instances create [TARGET_INSTANCE] --instance INSTANCE
gcloud config set compute/zone によって compute/zone プロパティが設定されておらず、--zone フラグが省略された場合、gcloud コマンドライン ツールはゾーンの選択を求めるプロンプトを表示します。詳細については、デフォルトのゾーンとリージョンの設定をご覧ください。
使用できるフラグの詳細な説明については、create コマンドを参照するか、gcloud compute target-instances create --help と入力してください。
API では、次の URI に HTTP POST リクエストを送ります。
https://www.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f/targetInstances
次のリクエスト ボディを使用します。
body = {
"name": "example-target-instance",
"instance": "zones/us-central1-f/instances/example-instance"
}
ターゲット インスタンスの一覧取得
gcloud コマンドライン ツールを使用してターゲット インスタンスのリストを取得するには、list コマンドを使用します。
gcloud compute target-instances list
API の場合は、次の URI に空の HTTP GET リクエストを行います。
https://www.googleapis.com/compute/v1/projects/myproject/aggregatedList/targetInstances
ターゲット インスタンスの取得
gcloud コマンドライン ツールを使用して単一ターゲット インスタンスに関する情報を取得するには、describe コマンドを使用します。
gcloud compute target-instances describe [TARGET_INSTANCE]
API の場合は、次の URI に空の HTTP GET リクエストを行います。
https://www.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f/targetInstances/<target-instance>
ターゲット インスタンスの削除
ターゲット インスタンスを削除するには、最初に、それがどの転送ルールからも参照されていないことを確認します。転送ルールが現在ターゲット インスタンスを参照している場合、その転送ルールを削除して、参照を削除する必要があります。
ターゲット インスタンスを参照する転送ルールを削除した後、gcloud コマンドライン ツールの delete コマンドを使用してターゲット インスタンスそのものを削除できます。
gcloud compute target-instances delete [TARGET_INSTANCE]
API の場合は、次の URI に空の HTTP DELETE リクエストを行います。
https://www.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f/targetInstances/<target-instance>
プライベート VIP のためのプロトコル転送
プロトコル転送は、プライベート(RFC 1918)アドレスを使用するプライベート リージョン転送ルールに使用できます。この機能を使用して、TCP または UDP トラフィックを同じリージョン内のターゲット インスタンスに送信するプライベート転送ルールを構成します。プライベート リージョン転送ルールを、ターゲット インスタンスを使用したバックエンド サービスからバックエンド サービスに、またはその逆に、簡単に切り替えることもできます。
ターゲット インスタンスには、1 つ以上の転送ルールによってトラフィックを処理する 1 つのバックエンド インスタンスが含まれます。各ターゲット インスタンスを指定する 1 つのプライベート転送ルールのみを構成できます。
次の状況では、プライベート転送ルールとともにプロトコル転送を使用します。
- サービスの 1 つのバックエンド インスタンスをデプロイし、ヘルスチェックやその他を自分で管理する場合。
- 転送グルールのプライベート IP アドレスを保持し、転送ルールで指定されるターゲット インスタンスを変更する場合。
- プライベート転送ルールの IP アドレスを変更せずに、単一のインスタンス(ターゲット インスタンス)から複数のバックエンド インスタンス(バックエン ドサービス)に簡単に移動できるようにすることで、展開を安定させる場合。
ターゲット インスタンスとバックエンド サービスの間の移行
1 つの VM インスタンスを使用して、ターゲット インスタンスへのトラフィックの転送をバックエンド サービスへのトラフィックの転送へ、またはその逆へと変更するようにプライベート転送ルールを更新できます。このようにプライベート転送ルールを更新すると、転送ルールの IP アドレスが保持されます。変更によってバックエンド サービス インスタンスの負荷分散が有効または無効になるため、この移行中に既存の接続が中断される可能性があります。
ターゲット インスタンスとバックエンド サービスの間での移行には、プライベート転送ルールのみを使用できます。外部転送ルールを使用したプロトコル転送では、これを行うことができません。
プライベート転送ルールのターゲットの更新
転送ルールがプライベート転送ルールの場合、ターゲット インスタンスを指すのではなく、バックエンド サービスを指すように変更できます。
gcloud compute forwarding-rules set-target my-forwarding-rule
--backend-service my-backend-service
ターゲット インスタンスに戻すには次のようにします。
gcloud compute forwarding-rules set-target my-forwarding-rule
--target-instance my-target-instance
プライベート転送ルールのプロトコル転送のトラブルシューティング
リージョン制限
プライベート転送ルールのプロトコル転送はリージョナル プロダクトです。すべてのクライアントとターゲット インスタンス VM は、同じリージョンに存在する必要があります。
エラー メッセージ: 「An internal target instance can only be the target of one forwarding rule」
「An internal target instance can only be the target
of one forwarding rule」というエラー メッセージが表示される場合、同じターゲット インスタンスを指定する 2 つの転送ルールを構成しようとしている可能性があります。複数の転送ルールで同じターゲット インスタンスを指定することはできません。
制限事項
- プライベート転送ルールでターゲット インスタンスを使用する場合、サポートされるプロトコルは TCP と UDP だけです。
制限
-
ネットワークごとにターゲット インスタンスを指定する 100 個のプライベート転送ルールを構成できます。
-
プライベート転送ルールごとに 5 つのポートを使用できます。
