このページでは、Google Cloud コンソールと Google Cloud CLI を使用してファイアウォール エンドポイントを構成および管理し、Virtual Private Cloud(VPC)ネットワークに関連付ける方法について説明します。
ゾーンレベルでファイアウォール エンドポイントを作成し、同じゾーン内の 1 つ以上の VPC ネットワークに関連付けます。VPC ネットワークに関連付けられたファイアウォール ポリシーでレイヤ 7 インスペクションを有効にしている場合、一致したトラフィックは透過的にインターセプトされ、ファイアウォール エンドポイントに転送されます。
始める前に
VPC ネットワークとサブネットが必要です。
Google Cloud プロジェクトで Compute Engine API を有効にする必要があります。
課金に使用する Google Cloud プロジェクトで Network Security API を有効にする必要があります。
Google Cloud プロジェクトで Certificate Authority Service API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
ファイアウォール エンドポイントの作成、表示、更新、削除を行うために必要な権限を取得するには、組織に必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。
割り当て
ファイアウォール エンドポイントと関連付けの割り当てについては、割り当てと上限をご覧ください。
ファイアウォール エンドポイントを作成する
特定のゾーンにファイアウォール エンドポイントを作成します。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.firewallEndpoints.create
ロール
compute.networkAdmin
Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[作成] をクリックします。
[リージョン] リストで、ファイアウォール エンドポイントを作成するリージョンを選択します。
[ゾーン] リストで、ファイアウォール エンドポイントを作成するゾーンを選択します。
必要に応じて、[名前] フィールドに名前を入力します。
[課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。
[続行] をクリックします。
ファイアウォール エンドポイントの関連付けを追加する場合は、[エンドポイントの関連付けを追加] をクリックします。それ以外の場合は、この手順をスキップします。
- [プロジェクト] リストで、ファイアウォール エンドポイントの関連付けを作成する Google Cloud プロジェクトを選択します。
- Google Cloud プロジェクトで Compute Engine API または Network Security API が有効になっていない場合は、[有効にする] をクリックします。
- [ネットワーク] リストで、ファイアウォール エンドポイントに関連付けるネットワークを選択します。
- [TLS インスペクション ポリシー] リストで、この関連付けに追加する TLS インスペクション ポリシーを選択します。
- 別の関連付けを追加するには、[エンドポイントの関連付けを追加] をクリックします。
[作成] をクリックします。
ファイアウォール エンドポイントを作成するには、gcloud network-security firewall-endpoints create コマンドを使用します。
gcloud network-security firewall-endpoints createNAME \ --organizationORGANIZATION_ID \ --zoneZONE \ --billing-projectBILLING_PROJECT_ID
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。BILLING_PROJECT_ID: ファイアウォール エンドポイントの課金に使用される Google Cloud プロジェクト ID。
ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
ファイアウォール エンドポイントを表示する
特定のファイアウォール エンドポイントの詳細を表示できます。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.firewallEndpoints.get
ロール
compute.networkAdmincompute.networkUsercompute.networkViewer
Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[ファイアウォール エンドポイント] ページに、組織で構成されているすべてのファイアウォール エンドポイントが一覧表示されます。
ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。
ファイアウォール エンドポイントの詳細を表示するには、gcloud network-security firewall-endpoints describe コマンドを使用します。
gcloud network-security firewall-endpoints \ describeNAME \ --organizationORGANIZATION_ID \ --zoneZONE
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。
ファイアウォール エンドポイントを一覧表示する
組織内のすべてのファイアウォール エンドポイントを一覧表示できます。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.firewallEndpoints.list
ロール
compute.networkAdmincompute.networkUsercompute.networkViewer
Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。
[ファイアウォール エンドポイント] ページに、組織で構成されているすべてのファイアウォール エンドポイントが一覧表示されます。
すべてのファイアウォール エンドポイントを一覧表示するには、gcloud network-security firewall-endpoints list コマンドを使用します。
gcloud network-security firewall-endpoints list \ --organizationORGANIZATION_ID \ --zoneZONE \ --billing-projectBILLING_PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。すべてのゾーンのエンドポイントを一覧表示するには、-を使用します。BILLING_PROJECT_ID: オペレーションの割り当てが課金対象となる Google Cloud プロジェクト ID(省略可)。
ファイアウォール エンドポイントを編集する
組織内のファイアウォール エンドポイントの課金プロジェクトを更新できます。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.firewallEndpoints.get
ロール
compute.networkAdmincompute.networkUsercompute.networkViewer
Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[ファイアウォール エンドポイント] ページに、組織で構成されているすべてのファイアウォール エンドポイントが一覧表示されます。
ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。
[編集] をクリックします。
[課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。
[保存] をクリックします。
ファイアウォール エンドポイントを編集するには、gcloud network-security firewall-endpoints edit コマンドを使用します。
gcloud network-security firewall-endpoints \ updateNAME \ --organizationORGANIZATION_ID \ --zoneZONE \ --billing-projectBILLING_PROJECT_ID
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。BILLING_PROJECT_ID: 課金用にこのファイアウォール エンドポイントに関連付ける Google Cloud プロジェクト ID。
ファイアウォール エンドポイントを削除する
名前、ゾーン、組織を指定して、ファイアウォール エンドポイントを削除できます。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.firewallEndpoints.delete
ロール
-
compute.networkAdmin
Google Cloud コンソールで [ファイアウォール エンドポイント] ページに移動します。
ファイアウォール エンドポイントを選択し、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
ファイアウォール エンドポイントを削除するには、gcloud network-security firewall-endpoints delete コマンドを使用します。
gcloud network-security firewall-endpoints deleteNAME --organizationORGANIZATION_ID \ --zoneZONE
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。