目標
このチュートリアルでは、次のタスクを行う方法を説明します。
- サブネットを持つ 2 つのカスタム VPC ネットワークを作成します。
- 3 つの仮想マシン(VM)インスタンスを作成します。1 つの VPC ネットワークの別々のサブネットに 2 つのコンシューマー VM を作成し、2 番目の VPC ネットワークにプロデューサー VM を作成します。すべての VM は外部 IP アドレスなしで作成されます。
- Apache サーバーをサーバー VM にインストールします。
- VPC ネットワーク ピアリングを作成します。
- Cloud Router と Cloud NAT ゲートウェイを作成して、プロデューサー VM が公共のインターネットにアクセスできるようにします。
- プロジェクト スコープのアドレス グループを作成します。
- 次のルールを使用してグローバル ネットワーク ファイアウォール ポリシーを作成します。
- VM との Identity-Aware Proxy(IAP)の SSH 接続を許可します。
- プロジェクト スコープのアドレス グループを使用して、許可されたコンシューマー VM からプロデューサー VM へのトラフィックを許可します。
- 接続をテストします。
次の図は、2 つのカスタム VPC ネットワーク内の us-central1 リージョンのプロデューサー VM とコンシューマー VM 間のトラフィックを示しています。グローバル ネットワーク ファイアウォール ポリシーは、プロジェクト スコープのアドレス グループ ルールを使用して、vm-consumer-allowed VM と vm-producer VM 間の上り(内向き)トラフィックを許可します。すべての VM には、すべてのトラフィックを拒否する暗黙的な上り(内向き)ファイアウォール ルールがあるため、vm-consumer-blocked VM と vm-producer VM 間のトラフィックは拒否されます。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- プロジェクトで Compute Engine API を有効にします。
- Compute ネットワーク管理者のロール(
roles/compute.networkAdmin)があることを確認します。 - プロジェクトで Identity-Aware Proxy API を有効にします。
- コマンドラインから作業する場合は、Google Cloud CLI をインストールします。ツールのコンセプトとインストールについては、gcloud CLI の概要をご覧ください。
注: Google Cloud CLI を初めて実行する場合は、
gcloud initコマンドを実行して gcloud CLI ディレクトリを初期化します。
サブネットを持つコンシューマー VPC ネットワークを作成する
このセクションでは、2 つの IPv4 サブネット(subnet-consumer-allowed と subnet-consumer-blocked)を持つコンシューマー VPC ネットワークを作成します。
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[VPC ネットワークを作成] をクリックします。
[名前] に「
vpc-consumer」と入力します。[サブネット作成モード] で [カスタム] を選択します。
[新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。
- 名前:
subnet-consumer-allowed - リージョン:
us-central1 - IPv4 範囲:
192.168.10.0/29
- 名前:
[完了] をクリックします。
[サブネットを追加] をクリックし、次の構成パラメータを指定します。
- 名前:
subnet-consumer-blocked - リージョン:
us-central1 - IPv4 範囲:
192.168.20.0/29
- 名前:
[完了] をクリックします。
[作成] をクリックします。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
VPC ネットワークを作成するには、次のコマンドを実行します。
gcloud compute networks create vpc-consumer \ --subnet-mode=custom
[Cloud Shell の承認] ダイアログで、[承認] をクリックします。
サブネットを作成するには、次のコマンドを実行します。
gcloud compute networks subnets create subnet-consumer-allowed \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.10.0/29
別のサブネットを作成するには、次のコマンドを実行します。
gcloud compute networks subnets create subnet-consumer-blocked \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.20.0/29
サブネットを持つプロデューサー VPC ネットワークを作成する
このセクションでは、IPv4 サブネットを持つプロデューサー VPC ネットワークを作成します。
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[VPC ネットワークを作成] をクリックします。
[名前] に「
vpc-producer」と入力します。[サブネット作成モード] で [カスタム] を選択します。
[新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。
- 名前:
subnet-vpc-producer - リージョン:
us-central1 - IPv4 範囲:
172.16.10.0/29
- 名前:
[完了] をクリックします。
[作成] をクリックします。
gcloud
VPC ネットワークを作成するには、次のコマンドを実行します。
gcloud compute networks create vpc-producer \ --subnet-mode=custom
サブネットを作成するには、次のコマンドを実行します。
gcloud compute networks subnets create subnet-vpc-producer \ --network=vpc-producer \ --region=us-central1 \ --range=172.16.10.0/29
Cloud Router と Cloud NAT ゲートウェイを作成する
vm-producer VM が公共のインターネットにアクセスできるように、Cloud Router と Cloud NAT ゲートウェイを作成します。
コンソール
Google Cloud コンソールで、[Cloud NAT] ページに移動します。
[開始] または [Cloud NAT ゲートウェイを作成] をクリックします。
[ゲートウェイ名] に「
nat-gateway-addressgrp」と入力します。[NAT タイプ] で、[パブリック] を選択します。
[Cloud Router の選択] セクションで、次の構成パラメータを指定します。
- ネットワーク:
vpc-producer - リージョン:
us-central1 (lowa) - Cloud Router: [新しいルーターを作成] をクリックします。
- [名前] に「
router-addressgrp」と入力します。 - [作成] をクリックします。
- [名前] に「
- ネットワーク:
[作成] をクリックします。
gcloud
Cloud Router を作成するには、次のコマンドを実行します。
gcloud compute routers create router-addressgrp \ --network=vpc-producer \ --region=us-central1
Cloud NAT ゲートウェイを作成するには、次のコマンドを実行します。
gcloud compute routers nats create nat-gateway-addressgrp \ --router=router-addressgrp \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
VM を作成する
前のセクションで作成した VPC ネットワークの各サブネットに、外部 IP アドレスのない VM を作成します。
コンシューマーが許可した VPC ネットワークに VM を作成する
subnet-consumer-allowed サブネットに VM を作成します。
コンソール
Google Cloud コンソールで、[インスタンスの作成] ページに移動します。
[名前] に「
vm-consumer-allowed」と入力します。[リージョン] で
us-central1 (Iowa)を選択します。[詳細オプション] を開き、[ネットワーキング] を開きます。
[ネットワーク インターフェース] セクションで [default] を開き、次の構成パラメータを指定します。
- ネットワーク:
vpc-consumer - サブネットワーク:
subnet-consumer-allowed IPv4 (192.168.10.0/29) - 外部 IPv4 アドレス: なし
- ネットワーク:
[完了] をクリックします。
[作成] をクリックします。
gcloud
gcloud compute instances create vm-consumer-allowed \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-allowed
コンシューマーがブロックした VPC ネットワークに VM を作成する
このセクションでは、subnet-consumer-blocked サブネットに VM を作成します。
コンソール
Google Cloud コンソールで、[インスタンスの作成] ページに移動します。
[名前] に「
vm-consumer-blocked」と入力します。[リージョン] で
us-central1 (Iowa)を選択します。[詳細オプション] を開き、[ネットワーキング] を開きます。
[ネットワーク インターフェース] セクションで [default] を開き、次の構成パラメータを指定します。
- ネットワーク:
vpc-consumer - サブネットワーク:
subnet-consumer-blocked IPv4 (192.168.20.0/29) - 外部 IPv4 アドレス: なし
- ネットワーク:
[完了] をクリックします。
[作成] をクリックします。
gcloud
gcloud compute instances create vm-consumer-blocked \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-blocked
プロデューサー VPC ネットワークに VM を作成する
サブネット subnet-vpc-producer に VM を作成し、Apache サーバーをインストールします。
コンソール
Google Cloud コンソールで、[インスタンスの作成] ページに移動します。
[名前] に「
vm-producer」と入力します。[リージョン] で
us-central1 (Iowa)を選択します。[詳細オプション] を開き、[ネットワーキング] を開きます。
[ネットワーク インターフェース] セクションで [default] を開き、次の構成パラメータを指定します。
- ネットワーク:
vpc-producer - サブネットワーク:
subnet-vpc-producer IPv4 (172.16.10.0/29)
- ネットワーク:
[完了] をクリックします。
[管理] セクションを開きます。
[自動化] セクションの [起動スクリプト] フィールドに、次のスクリプトを入力します。
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl # Read VM network configuration: md_vm="http://169.254.169.254/computeMetadata/v1/instance/" vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )" filter="{print \$NF}" vm_network="$(curl $md_vm/network-interfaces/0/network \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" vm_zone="$(curl $md_vm/zone \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" # Apache configuration: echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \ tee /var/www/html/index.html systemctl restart apache2上記のスクリプトは、この VM に Apache ウェブサーバーをデプロイして起動します。
[作成] をクリックします。
gcloud
プロデューサー VM を作成するには、次のコマンドを実行します。
gcloud compute instances create vm-producer \
--network=vpc-producer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-vpc-producer \
--image-project=debian-cloud \
--image-family=debian-10 \
--metadata=startup-script='#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
VPC ネットワーク ピアリング接続を作成する
同じプロジェクト内の vpc-consumer と vpc-producer VPC ネットワークを非公開で接続するには、VPC ネットワーク ピアリングを使用します。VPC ネットワーク ピアリングを使用すると、VPC ネットワークが同じプロジェクトまたは組織に属しているかどうかにかかわらず、2 つの VPC ネットワーク間で内部 IP アドレス接続を使用できます。
vpc-consumer を vpc-producer とピアリングする
VPC ネットワーク ピアリングを正常に確立するには、vpc-consumer ネットワークと vpc-producer ネットワークのピアリング関係を個別に構成する必要があります。
コンソール
vpc-consumer ネットワークと vpc-producer ネットワークの間に VPC ネットワーク ピアリングを作成する手順は次のとおりです。
Google Cloud コンソールで、[VPC ネットワーク ピアリング] ページに移動します。
[接続を作成] をクリックします。
[続行] をクリックします。
[名前] フィールドに「
peering-cp」と入力します。[VPC ネットワーク] で [
vpc-consumer] を選択します。[VPC ネットワークの名前] で [
vpc-producer] を選択します。[作成] をクリックします。
gcloud
vpc-consumer と vpc-producer の間に VPC ネットワーク ピアリングを作成するには、次のコマンドを実行します。
gcloud compute networks peerings create peering-cp \
--network=vpc-consumer \
--peer-network=vpc-producer \
--stack-type=IPV4_ONLY
vpc-producer ネットワークを vpc-consumer ネットワークとピアリングする
コンソール
vpc-producer と vpc-consumer の間に VPC ネットワーク ピアリングを作成する手順は次のとおりです。
Google Cloud コンソールで、[VPC ネットワーク ピアリング] ページに移動します。
[接続を作成] をクリックします。
[続行] をクリックします。
[名前] フィールドに「
peering-pc」と入力します。[VPC ネットワーク] で [
vpc-producer] を選択します。[VPC ネットワークの名前] で [
vpc-consumer] を選択します。[作成] をクリックします。
gcloud
vpc-producer と vpc-consumer の間に VPC ネットワーク ピアリングを作成するには、次のコマンドを実行します。
gcloud compute networks peerings create peering-pc \
--network=vpc-producer \
--peer-network=vpc-consumer \
--stack-type=IPV4_ONLY
グローバル ネットワーク ファイアウォール ポリシーを作成して IAP を有効にする
IAP を有効にするには、グローバル ネットワーク ファイアウォール ポリシーを作成し、ファイアウォール ルールを追加します。IAP により、VM インスタンスに対する管理者権限が付与されます。
ファイアウォール ルールには次の特徴があります。
- IP 範囲
35.235.240.0/20からの上り(内向き)トラフィック。この範囲には、IAP が TCP 転送に使用するすべての IP アドレスが含まれています。 IAP TCP 転送でアクセス可能にするすべてのポートへの接続(SSH の場合はポート
22など)。
コンソール
次の手順で、IAP が vpc-consumer ネットワークと vpc-producer ネットワーク内のすべての VM インスタンスにアクセスできるようにします。
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ファイアウォール ポリシーを作成] をクリックします。
[ポリシーの構成] セクションの [ポリシー名] に「
fw-policy-addressgrp」と入力します。[デプロイのスコープ] で [グローバル] を選択し、[続行] をクリックします。
ポリシーのルールを作成するには、[ルールを追加] セクションで [ルールを追加] をクリックします。
- [優先度] に「
100」と入力します。 - [トラフィックの方向] で [上り(内向き)] をオンにします。
- [一致したときのアクション] で [許可] をオンにします。
- [ターゲット] セクションの [ターゲット タイプ] で、[ネットワーク上のすべてのインスタンス] を選択します。
- [送信元] セクションの [IP 範囲] に「
35.235.240.0/20」と入力します。 - [プロトコルとポート] セクションで、[指定したプロトコルとポート] を選択します。
- [TCP] チェックボックスをオンにし、[ポート] に「
22」と入力します。 - [作成] をクリックします。
- [優先度] に「
[続行] をクリックします。
VPC ネットワークをポリシーに関連付けるには、[ポリシーと VPC ネットワークの関連付け] セクションで [関連付け] をクリックします。
vpc-producerとvpc-consumerのチェックボックスをオンにして、[関連付け] をクリックします。[続行] をクリックします。
[作成] をクリックします。
gcloud
IAP が vpc-producer ネットワーク内の VM インスタンスにアクセスできるようにするには、次のコマンドを実行します。
ファイアウォール ポリシーを作成するには、次のコマンドを実行します。
gcloud compute network-firewall-policies create fw-policy-addressgrp \ --globalすべての宛先へのトラフィックを許可し、ログを有効にするファイアウォール ルールを作成するには、次のコマンドを実行します。
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy=fw-policy-addressgrp \ --direction=INGRESS \ --action=ALLOW \ --layer4-configs=tcp:22 \ --src-ip-ranges=35.235.240.0/20 \ --global-firewall-policyファイアウォール ポリシーをプロデューサー VPC ネットワークに関連付けるには、次のコマンドを実行します。
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-producer \ --name=pol-association-vpc-producer \ --global-firewall-policyファイアウォール ポリシーをコンシューマー VPC ネットワークに関連付けるには、次のコマンドを実行します。
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-consumer \ --name=pol-association-vpc-consumer \ --global-firewall-policy
プロジェクト スコープのアドレス グループを作成する
vpc-consumer VPC ネットワークの subnet-consumer-allowed サブネットに割り当てられた IP アドレスを使用する、プロジェクト スコープのアドレス グループを作成します。
プロジェクト スコープのアドレス グループの詳細については、ファイアウォール ポリシーでアドレス グループを使用するをご覧ください。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
[アドレス グループを作成] をクリックします。
[名前] フィールドに「
address-group-pc」と入力します。[スコープ] で [グローバル] を選択します。
[タイプ] で [IPv4] を選択します。
[容量] フィールドに「
1000」と入力します。[IP アドレス] フィールドに「
192.168.10.0/29」と入力します。[作成] をクリックします。
gcloud
Cloud Shell ターミナルを初めて使用する場合は、Google Cloud コンソールで「Cloud Shell をアクティブにする」
をクリックします。アドレス グループを作成するには、次のコマンドを実行します。
gcloud network-security address-groups create address-group-pc \ --type IPv4 \ --capacity 1000 \ --location global[Cloud Shell の承認] ダイアログで、[承認] をクリックします。
アイテムをアドレス グループに追加するには、次のコマンドを実行します。
gcloud network-security address-groups add-items address-group-pc \ --items 192.168.10.0/29 \ --location globalIP 範囲
192.168.10.0/29は、vpc-consumerVPC ネットワークのsubnet-consumer-allowedサブネットに割り当てられます。
アドレス グループへのトラフィックを許可するファイアウォール ルールを追加する
vm-consumer-allowed VM からの上り(内向き)接続を許可するには、プロジェクト スコープのアドレス グループ address-group-pc を送信元 IP アドレスとして追加するファイアウォール ルールを作成します。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ネットワーク ファイアウォール ポリシー] セクションで、[
fw-policy-addressgrp] をクリックします。[ルールを作成] をクリックします。
[優先度] に「
150」と入力します。[トラフィックの方向] で [上り(内向き)] をオンにします。
[一致したときのアクション] で [許可] をオンにします。
[ログ] で [オン] を選択します。
[ターゲット] セクションの [ターゲット タイプ] で、[ネットワーク上のすべてのインスタンス] を選択します。
[送信元] セクションの [アドレス グループ] で、[
address-group-pc (PROJECT_ID)] を選択して [OK] をクリックします。address-group-pcIP アドレス グループには、コンシューマー VPC ネットワークのサブネットsubnet-consumer-allowedに割り当てられた192.168.10.0/29の IP 範囲が含まれます。[作成] をクリックします。
gcloud
ファイアウォール ポリシーを更新するには、次のコマンドを実行します。
gcloud compute network-firewall-policies rules create 150 \
--firewall-policy=fw-policy-addressgrp \
--direction=INGRESS \
--action=ALLOW \
--src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
接続をテストする
vm-consumer-allowed VM から vm-producer VM への接続と、vm-consumer-blocked VM から vm-producer VM への接続をテストします。
vm-consumer-allowed VM から vm-producer VM へのトラフィックをテストする
コンソール
Google Cloud コンソールで [VM インスタンス] ページに移動します。
vm-producerVM の [内部 IP] 列から、VM の内部 IP アドレスをコピーします。vm-consumer-allowedVM の [接続] 列で [SSH] をクリックします。[ブラウザでの SSH] ダイアログで [承認] をクリックし、接続が確立されるのを待ちます。
接続を確認するには、次のコマンドを実行します。
curl INTERNAL_IP -m 2
INTERNAL_IPは、vm-producerVM の IP アドレスに置き換えます。出力は次のようになります。
<!doctype html><html><body><h1>Hello World!</h1></body></html>[ブラウザでの SSH] ダイアログを閉じます。
gcloud
vm-producerVM の内部 IP アドレスを表示するには、次のコマンドを実行します。gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
プロンプトが表示されたら、n キーを押して確定し、Enter キーを押します。
vm-producerVM の内部 IP アドレスをメモしてください。SSH を使用して
vm-consumer-allowedVM に接続するには、次のコマンドを実行します。gcloud compute ssh vm-consumer-allowed \ --zone=us-central1-a \ --tunnel-through-iap
接続を確認するには、次のコマンドを実行します。
curl INTERNAL_IP -m 2
INTERNAL_IPは、vm-producerVM の内部 IP アドレスに置き換えます。想定されるレスポンス メッセージは次のとおりです。
<!doctype html><html><body><h1>Hello World!</h1></body></html>SSH 接続を終了するには、「
exit」と入力します。
vm-consumer-blocked VM から vm-producer VM へのトラフィックをテストする
コンソール
Google Cloud コンソールで [VM インスタンス] ページに移動します。
vm-producerVM の [内部 IP] 列から、VM の内部 IP アドレスをコピーします。vm-consumer-blockedVM の [接続] 列で [SSH] をクリックします。[ブラウザでの SSH] ダイアログで [承認] をクリックし、接続が確立されるのを待ちます。
接続を確認するには、次のコマンドを実行します。
curl INTERNAL_IP -m 2
INTERNAL_IPは、vm-producerVM の IP アドレスに置き換えます。どの VM にも、すべてのトラフィックを拒否する暗黙的な上り(内向き)ファイアウォール ルールが作成されるため、「
Connection timed out」というメッセージが返されるのは想定の動作です。トラフィックを許可するには、ファイアウォール ポリシーに上り(内向き)ルールを追加します。[ブラウザでの SSH] ダイアログを閉じます。
gcloud
vm-producerVM の内部 IP アドレスを表示するには、次のコマンドを実行します。gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
プロンプトが表示されたら、n キーを押して確定し、Enter キーを押します。
vm-producerVM の内部 IP アドレスをメモしてください。SSH を使用して
vm-consumer-blockedVM に接続するには、次のコマンドを実行します。gcloud compute ssh vm-consumer-blocked \ --zone=us-central1-a \ --tunnel-through-iap
接続を確認するには、次のコマンドを実行します。
curl INTERNAL_IP -m 2
INTERNAL_IPは、vm-producerVM の内部 IP アドレスに置き換えます。どの VM にも、すべてのトラフィックを拒否する暗黙的な上り(内向き)ファイアウォール ルールが作成されるため、「
Connection timed out」というメッセージが返されるのは想定の動作です。トラフィックを許可するには、ファイアウォール ポリシーに上り(内向き)ルールを追加します。SSH 接続を終了するには、「
exit」と入力します。
ログを確認する
アドレス グループのファイアウォール ルールが上り(内向き)トラフィックに適用されたことを確認するには、ログにアクセスします。次の手順でログを確認します。
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ネットワーク ファイアウォール ポリシー] セクションで、
fw-policy-addressgrp名をクリックします。[ヒットカウント] 列で、アドレス グループへのトラフィックを許可するファイアウォール ルールを追加するで作成したルールの数を選択します。[ログ エクスプローラ] ページが開きます。
上り(内向き)トラフィックに適用されたファイアウォール ルールを確認するには、個々のログを開きます。ルールの詳細、処理、インスタンスの詳細を確認できます。
クリーンアップ
このチュートリアルで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。
このチュートリアルで作成したリソースを削除するには、次の操作を行います。
アドレス グループを削除する
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ネットワーク ファイアウォール ポリシー] セクションで、[
fw-policy-addressgrp] をクリックします。[ファイアウォール ルール] セクションで、ファイアウォール ルール
150のチェックボックスをオンにします。[削除] をクリックします。
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
[アドレス グループ] セクションで、
address-group-pcの横にあるチェックボックスをオンにします。[ 削除] をクリックします。確認のため、もう一度 [削除] をクリックします。
gcloud
address-group-pcIP アドレス グループに関連付けられたファイアウォール ルールを削除するには、次のコマンドを実行します。gcloud compute network-firewall-policies rules delete 150 \ --firewall-policy fw-policy-addressgrp \ --global-firewall-policyアドレス グループから既存のアイテムを削除するには、次のコマンドを実行します。
gcloud network-security address-groups remove-items address-group-pc \ --items 192.168.10.0/29 \ --location globalIP アドレス グループを削除するには、次のコマンドを実行します。
gcloud network-security address-groups delete address-group-pc \ --location globalプロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
ファイアウォール ポリシーを削除する
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
[ネットワーク ファイアウォール ポリシー] セクションで、
fw-policy-addressgrp名をクリックします。[関連付け] タブをクリックします。
vpc-producerVM とvpc-consumerVM のチェックボックスをオンにして、[関連付けを削除] をクリックします。[ファイアウォール ポリシーの関連付けの削除] ダイアログで、[削除] をクリックします。
fw-policy-addressgrpの横にある [削除] をクリックします。[ファイアウォール ポリシーの削除] ダイアログで、[削除] をクリックします。
gcloud
ファイアウォール ポリシーと VPC プロデューサー ネットワークの関連付けを削除します。
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-producer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
ファイアウォール ポリシーと VPC コンシューマー ネットワークの関連付けを削除します。
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-consumer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
ファイアウォール ポリシーを削除します。
gcloud compute network-firewall-policies delete fw-policy-addressgrp \ --global
VPC ネットワーク ピアリングを削除する
コンソール
Google Cloud コンソールで、[VPC ネットワーク ピアリング] ページに移動します。
peering-cpとpeering-pcのチェックボックスをオンにします。[削除] をクリックします。
[2 個のピアリングを削除しますか?] ダイアログで、[削除] をクリックします。
gcloud
コンシューマー VPC とプロデューサー VPC の間のピアリングを削除するには、次のコマンドを実行します。
gcloud compute networks peerings delete peering-cp \ --network=vpc-consumerプロデューサー VPC とコンシューマー VPC の間のピアリングを削除するには、次のコマンドを実行します。
gcloud compute networks peerings delete peering-pc \ --network=vpc-producer
Cloud NAT ゲートウェイと Cloud Router を削除する
コンソール
Google Cloud コンソールで [Cloud Router] ページに移動します。
[
router-addressgrp] チェックボックスをオンにします。[削除] をクリックします。
[Router-addressgrp の削除] ダイアログで、[削除] をクリックします。
Cloud Router を削除すると、関連する Cloud NAT ゲートウェイも削除されます。
gcloud
router-addressgrp Cloud Router を削除するには、次のコマンドを実行します。
gcloud compute routers delete router-addressgrp \
--region=us-central1
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
Cloud Router を削除すると、関連する Cloud NAT ゲートウェイも削除されます。
VM を削除する
コンソール
Google Cloud コンソールで [VM インスタンス] ページに移動します。
vm-consumer-allowedVM、vm-consumer-blockedVM、vm-producerVM のチェックボックスをオンにします。[削除] をクリックします。
[3 個のインスタンスを削除しますか?] ダイアログで、[削除] をクリックします。
gcloud
すべての VM を削除するには、次のコマンドを実行します。
gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \ --zone=us-central1-aプロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
コンシューマー VPC ネットワークとそのサブネットを削除する
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[名前] 列で [
vpc-consumer] をクリックします。[VPC ネットワークの削除] をクリックします。
[ネットワークの削除] ダイアログで [削除] をクリックします。
VPC を削除すると、そのサブネットも削除されます。
gcloud
vpc-consumerVPC ネットワークのサブネットを削除するには、次のコマンドを実行します。gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \ --region=us-central1
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
次のコマンドを実行して、
vpc-consumerVPC ネットワークを作成します。gcloud compute networks delete vpc-consumer
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
プロデューサー VPC ネットワークとそのサブネットを削除する
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[名前] 列で [
vpc-producer] をクリックします。[VPC ネットワークの削除] をクリックします。
[ネットワークの削除] ダイアログで [削除] をクリックします。
VPC を削除すると、そのサブネットも削除されます。
gcloud
vpc-producerVPC ネットワークのサブネットを削除するには、次のコマンドを実行します。gcloud compute networks subnets delete subnet-vpc-producer \ --region=us-central1
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
次のコマンドを実行して、
vpc-producerVPC ネットワークを作成します。gcloud compute networks delete vpc-producer
プロンプトが表示されたら、Y キーを押して確定し、Enter キーを押します。
次のステップ
- ファイアウォール ポリシーのコンセプトについては、ファイアウォール ポリシーをご覧ください。
- ファイアウォール ポリシー ルールのコンセプトについては、ファイアウォール ポリシー ルールをご覧ください。
- VPC ファイアウォール ルールを作成、更新、モニタリング、削除するには、VPC ファイアウォール ルールを使用するをご覧ください。
- 費用を確認するには、Cloud NGFW の料金をご覧ください。