このページでは、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーの実装例を示します。ここでは、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーに記載されているコンセプトに精通していることを前提としています。
1 つのグローバル ネットワーク ファイアウォール ポリシーと複数のリージョン ネットワーク ファイアウォール ポリシーを Virtual Private Cloud(VPC)ネットワークに接続できます。グローバル ネットワーク ファイアウォール ポリシーは、VPC ネットワークのすべてのリージョン内のすべてのサブネットワークに適用されます。リージョン ネットワーク ファイアウォール ポリシーは、ターゲット リージョン内の VPC ネットワークのサブネットワークにのみ適用されます。
図 1 は、VPC ネットワーク内のグローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーのスコープを示しています。
例: 特定のポートへの接続を除き、すべての外部接続を拒否する
このユースケースでは、グローバル ネットワーク ファイアウォール ポリシーによって、宛先ポート 80、443、22 での接続を除き、外部インターネット ソースからのすべての接続がブロックされます。80、443、22 以外のポートでの上り(内向き)インターネット接続はブロックされます。ルールの適用は、ポート 80、443、22 での任意の接続のリージョン ネットワーク ファイアウォール ポリシーに委任されます。
この例では、リージョン ネットワーク ファイアウォール ポリシーが region-a に適用され、送信元 10.2.0.0/16 からの内部トラフィックと、任意の送信元からポート 443 および 80 への上り(内向き)トラフィックが許可されます。図 2 は、このユースケースの構成を示しています。
VM に適用される有効なポリシー
このセクションでは、階層全体のルールを評価した後、この例に適用できる有効なネットワーク ファイアウォール ポリシーについて説明します。
上り(内向き)接続
10.0.0.0/8からの上り(内向き)接続は、優先度の最も高いグローバル ネットワーク ファイアウォール ポリシー ルールdelegate-internal-trafficと一致し、グローバル ネットワーク ファイアウォール ポリシーの残りのルールをバイパスします。リージョン ネットワーク ファイアウォール ポリシー ルールでは、10.2.0.0/16からの上り(内向き)接続が許可され、残りの接続は暗黙の上り(内向き)denyルールに対して評価されます。送信元 IP 範囲が
10.0.0.0/8で、宛先ポート22、80、443の上り(内向き)接続は、リージョン ネットワーク ファイアウォール ポリシー ルール レベルに委任されます。リージョン ネットワーク ファイアウォール ポリシー ルールでは、ポート80と443は許可されますが、ポート22は許可されません。
下り(外向き)接続
- グローバル ネットワーク ファイアウォール ポリシールールに一致するものはありません。このため、暗黙的なシステムルールが適用され、下り(外向き)接続が許可されます。
構成方法
次のルールを含むグローバル ネットワーク ファイアウォール ポリシーを作成します。
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"ポリシーを VPC ネットワークに関連付けます。
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policy10.0.0.0/8からの上り(内向き)接続に一致するルールを追加します。gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policy特定のポートから外部トラフィックを委任するルールを追加します。
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policy残りのすべての上り(内向き)トラフィックをブロックするルールを追加します。
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyリージョン ネットワーク ファイアウォール ポリシーを作成します。
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"リージョン ネットワーク ファイアウォール ポリシーを VPC ネットワークに関連付け、特定のリージョンのネットワーク内の任意の VM のポリシールールを有効にします。
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aリージョン ネットワーク ファイアウォール ポリシーの内部トラフィックを許可するルールを追加します。
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-a特定のポートからの外部トラフィックを許可するルールを追加します。
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
次のステップ
グローバル ネットワーク ファイアウォール ポリシーとルールを作成および変更する。グローバル ネットワーク ファイアウォール ポリシーとルールを使用するをご覧ください。
リージョン ネットワーク ファイアウォール ポリシーとルールを作成および変更する。リージョン ネットワーク ファイアウォール ポリシーとルールを使用するをご覧ください。