Google Cloud コンソールで、特定の完全修飾ドメイン名(FQDN)への下り(外向き)トラフィックを許可するグローバル ネットワーク ファイアウォール ポリシーを作成し、構成する方法について説明します。ファイアウォール ポリシーは、ネットワークから発信される他の下り(外向き)トラフィックをすべてブロックします。このクイックスタートでは、サブネットのある Virtual Private Cloud(VPC)ネットワークを作成し、VPC ネットワークに仮想マシン(VM)インスタンスを作成します。さらに、下り(外向き)ルールを使用するファイアウォール ポリシーを設定して、VM からファイアウォール ポリシーをテストします。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. - Compute ネットワーク管理者のロール(
roles/compute.networkAdmin)があることを確認します。
IPv4 サブネットを持つカスタム VPC ネットワークを作成する
IPv4 サブネットを持つカスタムモードの VPC ネットワークを作成します。
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[VPC ネットワークを作成] をクリックします。
[名前] に「
vpc-fw-policy-egress」と入力します。[サブネット作成モード] で [カスタム] を選択します。
[新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。
- 名前: 「
subnet-1」と入力します。 - リージョン: [us-central1] を選択します。
- IPv4 範囲: 「
10.0.0.0/24」と入力します。
- 名前: 「
[完了] をクリックします。
[作成] をクリックします。
VM を作成する
前のセクションで構成したサブネットに VM を作成します。
Google Cloud コンソールで、[インスタンスの作成] ページに移動します。
[名前] に「
instance-1-us」と入力します。[リージョン] で [
us-central1 (Iowa)] を選択します。[詳細オプション] を開き、[ネットワーキング] を開きます。
[ネットワーク インターフェース] セクションで、既存のネットワーク インターフェースを開き、次の構成パラメータを指定します。
- ネットワーク: [vpc-fw-policy-egress] を選択します。
- サブネットワーク: [subnet-1 IPv4(10.0.0.0/24)] を選択します。
- 外部 IPv4 アドレス: [なし] を選択します。
[完了] をクリックします。
[作成] をクリックします。
Cloud Router と Cloud NAT ゲートウェイを作成する
前のセクションでは、外部 IP アドレスのない VM を作成しました。VM が公共のインターネットにアクセスできるようにするには、VM と同じリージョンとサブネットに Cloud Router と Cloud NAT ゲートウェイを作成します。
Google Cloud コンソールで、[Cloud NAT] ページに移動します。
[開始] または [Cloud NAT ゲートウェイを作成] をクリックします。
注: Cloud NAT ゲートウェイを初めて作成する場合は、[開始] をクリックします。既存のゲートウェイがある場合は、Google Cloud に [Cloud NAT ゲートウェイを作成] ボタンが表示されます。別のゲートウェイを作成するには、[Cloud NAT ゲートウェイを作成] をクリックします。
[ゲートウェイ名] に「
fw-egress-nat-gw」と入力します。[NAT タイプ] で、[パブリック] を選択します。
[Cloud Router の選択] セクションで、次の構成パラメータを指定します。
- ネットワーク: [vpc-fw-policy-egress] を選択します。
- リージョン: [us-central1(アイオワ)] を選択します。
- Cloud Router: [新しいルーターを作成] をクリックします。
- [名前] に「
fw-egress-router」と入力します。 - [作成] をクリックします。
- [名前] に「
[作成] をクリックします。
グローバル ネットワーク ファイアウォール ポリシーを作成して IAP を有効にする
ネットワーク内の VM で Identity-Aware Proxy を有効にするには、グローバル ネットワーク ファイアウォール ポリシーを作成し、ポリシーにファイアウォール ルールを追加します。IAP を使用すると、VM に管理者権限でアクセスできます。
次のようなファイアウォール ルールを作成する必要があります。
- IAP TCP 転送を使用してアクセスできるようにするすべての VM に適用する。
- IP アドレス範囲
35.235.240.0/20からの上り(内向き)トラフィックを許可する。この範囲には、IAP が TCP 転送に使用するすべての IP アドレスが含まれています。 - IAP TCP 転送を使用してアクセスするポートへの接続をすべて許可する(SSH の場合はポート
22など)。
vpc-fw-policy-egress ネットワーク内のすべての VM に IAP アクセスを許可するには、次の操作を行います。
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ファイアウォール ポリシーを作成] をクリックします。
[ポリシーの構成] セクションの [ポリシー名] に「
fw-egress-policy」と入力します。[デプロイのスコープ] で [グローバル] を選択し、[続行] をクリックします。
ポリシーのルールを作成するには、[ルールを追加] セクションで [ルールを追加] をクリックします。
- [優先度] に「
100」と入力します。 - [トラフィックの方向] で [上り(内向き)] をオンにします。
- [一致したときのアクション] で [許可] をオンにします。
- [ログ] で [オン] を選択します。
- [ターゲット] セクションの [ターゲット タイプ] で、[ネットワーク上のすべてのインスタンス] を選択します。
- [送信元] セクションの [IP 範囲] に「
35.235.240.0/20」と入力します。 - [プロトコルとポート] セクションで、[指定したプロトコルとポート] を選択します。
- [TCP] チェックボックスをオンにし、[ポート] に「
22」と入力します。 - [作成] をクリックします。
- [優先度] に「
[続行] をクリックします。
VPC ネットワークをポリシーに関連付けるには、[ポリシーと VPC ネットワークの関連付け] セクションで [関連付け] をクリックします。
[vpc-fw-policy-egress] チェックボックスをオンにして、[関連付け] をクリックします。
[続行] をクリックします。
[作成] をクリックします。
すべての宛先への下り(外向き)トラフィックを拒否するファイアウォール ルールを追加する
すべての宛先への下り(外向き)トラフィックを拒否するには、fw-egress-policy にファイアウォール ルールを追加します。
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ネットワーク ファイアウォール ポリシー] セクションで、[fw-egress-policy] をクリックします。
[ルールを作成] をクリックします。
[優先度] に「
700」と入力します。[トラフィックの方向] に [下り(外向き)] を選択します。
[一致したときのアクション] で [拒否] を選択します。
[ログ] で [オン] を選択します。
[送信先] セクションの [IP 範囲] に「
0.0.0.0/0」と入力します。[作成] をクリックします。
特定の FQDN に対してのみ下り(外向き)トラフィックを許可するファイアウォール ルールを追加する
特定の FQDN ads.google.com に対してのみ下り(外向き)トラフィックを許可するには、fw-egress-policy にファイアウォール ルールを追加します。
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ネットワーク ファイアウォール ポリシー] セクションで、[fw-egress-policy] をクリックします。
[ルールを作成] をクリックします。
[優先度] に「
600」と入力します。[トラフィックの方向] に [下り(外向き)] を選択します。
[一致したときのアクション] で [許可] をオンにします。
[ログ] で [オン] を選択します。
[送信先] セクションの [FQDN] に「
ads.google.com」と入力します。[作成] をクリックします。
グローバル ネットワーク ファイアウォール ポリシーをテストする
グローバル ネットワーク ファイアウォール ポリシーを構成したら、次の手順でポリシーをテストします。
Google Cloud コンソールで [VM インスタンス] ページに移動します。
instance-1-usVM の [接続] 列で [SSH] をクリックします。ブラウザでの SSH ダイアログで [承認] をクリックし、接続が確立されるのを待ちます。
次のコマンドを実行して、https://ads.google.com への下り(外向き)トラフィックが許可されていることを確認します。
curl -I https://ads.google.com
上記のコマンドは https://ads.google.com のヘッダー情報を返します。これは、下り(外向き)接続が許可されていることを意味します。
他の宛先に対する下り(外向き)トラフィックがブロックされていることを確認するには、任意の FQDN を指定して次のコマンドを実行します。
curl -m 2 -I https://mail.yahoo.com
上記のコマンドは
Connection timed outメッセージを返します。これは、https://ads.google.com を除くすべての宛先への下り(外向き)トラフィックを拒否するファイアウォール ルールを作成したためです。
ログを確認する
ログにアクセスすることで、ファイアウォール ルールが下り(外向き)トラフィックに適用されたことを確認できます。次の手順でログを確認します。
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ネットワーク ファイアウォール ポリシー] セクションで、[fw-egress-policy] をクリックします。
[ヒットカウント] 列で、グローバル ネットワーク ファイアウォール ポリシーを作成するで作成したルールの数をクリックします。[ログ エクスプローラ] ページが開きます。
下り(外向き)トラフィックに適用されたファイアウォール ルールを確認するには、個々のログを開きます。関連するセクションを開くと、接続、処理、リモート ロケーション、ルールの詳細を表示できます。
クリーンアップ
このクイックスタートで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。
このクイックスタートで作成したリソースを削除するには、次の操作を行います。
ファイアウォール ポリシーを削除する
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ネットワーク ファイアウォール ポリシー] セクションで、[fw-egress-policy] をクリックします。
[関連付け] タブをクリックします。
vpc-fw-policy-egressのチェックボックスをオンにして、[関連付けを削除] をクリックします。[ファイアウォール ポリシーの関連付けの削除] ダイアログで、[削除] をクリックします。
[削除] をクリックします。
[ファイアウォール ポリシーの削除] ダイアログで、[削除] をクリックします。
VM を削除する
Google Cloud コンソールで [VM インスタンス] ページに移動します。
instance-1-usVM のチェックボックスをオンにします。[削除] をクリックします。
[instance-1-us の削除] ダイアログで、[削除] をクリックします。
Cloud NAT ゲートウェイと Cloud Router を削除する
Google Cloud コンソールで [Cloud Router] ページに移動します。
fw-egress-routerのチェックボックスをオンにします。[削除] をクリックします。
[fw-egress-router の削除] ダイアログで [削除] をクリックします。
Cloud Router を削除すると、関連する Cloud NAT ゲートウェイも削除されます。
VPC ネットワークとそのサブネットを削除する
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[名前] 列で、[vpc-fw-policy-egress] をクリックします。
[VPC ネットワークの削除] をクリックします。
[ネットワークの削除] ダイアログで [削除] をクリックします。
VPC ネットワークを削除すると、そのサブネットも削除されます。
次のステップ
- ファイアウォール ポリシーのコンセプトについては、ファイアウォール ポリシーの概要をご覧ください。
- ファイアウォール ポリシー ルールのコンセプトについては、ファイアウォール ポリシー ルールの概要をご覧ください。
- VPC ファイアウォール ルールを作成、更新、モニタリング、削除するには、VPC ファイアウォール ルールを使用するをご覧ください。
- 費用を確認するには、Cloud NGFW の料金をご覧ください。