グローバル ネットワークのファイアウォール ポリシーとルールを使用する

このページは、グローバル ネットワーク ファイアウォール ポリシーの概要で説明されているコンセプトを理解していることを前提としています。

ファイアウォール ポリシーのタスク

グローバル ネットワーク ファイアウォール ポリシーを作成する

プロジェクト内の任意の VPC ネットワークにポリシーを作成できます。ポリシーを作成したら、プロジェクト内の任意の VPC ネットワークに関連付けることができます。関連付けが終わると、関連するネットワークの VM に対してポリシーのルールがアクティブになります。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのリストで、組織内のプロジェクトを選択します。

  3. [ネットワーク ファイアウォール ポリシーを作成する] をクリックします。

  4. ポリシーに名前を付けます。

  5. [デプロイのスコープ] で [グローバル] を選択します。

  6. ポリシーのルールを作成する場合は、[続行] をクリックしてから、[ルールを追加] をクリックします。

    詳細については、ファイアウォール ルールの作成をご覧ください。

  7. ポリシーを VPC ネットワークに関連付けるには、[続行] をクリックしてから [関連付け] をクリックします。

    詳しくは、ポリシーをネットワークに関連付けるをご覧ください。

  8. [作成] をクリックします。

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

次のように置き換えます。

  • NETWORK_FIREWALL_POLICY_NAME: ポリシーの名前。
  • DESCRIPTION: ポリシーの説明。

ポリシーをネットワークに関連付ける

ポリシーをネットワークに関連付けると、そのネットワーク内の VM のポリシールールがアクティブになります。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、ポリシーが含まれているプロジェクトを選択します。

  3. ポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. [関連付けを追加] をクリックします。

  6. プロジェクト内のネットワークを選択します。

  7. [関連付け] をクリックします。

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

次のように置き換えます。

  • POLICY_NAME: ポリシーの略称またはシステムによって生成された名前。
  • NETWORK_NAME: ネットワークの名前。
  • ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前は network-NETWORK_NAME に設定されます。

グローバル ネットワーク ファイアウォール ポリシーの情報を取得する

すべてのファイアウォール ルールを含む、ポリシーのすべての詳細を表示できます。また、ポリシー内のすべてのルールにある属性も確認できます。この属性は、ポリシーごとの上限としてカウントされます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。

  3. ポリシーをクリックします。

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

グローバル ネットワーク ファイアウォール ポリシーの説明を更新する

更新できるポリシー フィールドは [説明] フィールドのみです。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。

  3. ポリシーをクリックします。

  4. [編集] をクリックします。

  5. [説明] フィールドのテキストを変更します。

  6. [保存] をクリックします。

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

グローバル ネットワーク ファイアウォール ポリシーを一覧表示する

プロジェクトで利用可能なポリシーのリストを表示できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、ポリシーが含まれているプロジェクトを選択します。

    [ネットワーク ファイアウォール ポリシー] セクションに、プロジェクトで使用可能なポリシーが表示されます。

gcloud

gcloud compute network-firewall-policies list --global

グローバル ネットワーク ファイアウォール ポリシーを削除する

グローバル ネットワーク ファイアウォール ポリシーを削除する前に、すべての関連付けを削除する必要があります。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、ポリシーが含まれているプロジェクトを選択します。

  3. 削除するポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. すべての関連付けを選択します。

  6. [関連付けを削除] をクリックします。

  7. すべての関連付けを削除したら、[削除] をクリックします。

gcloud

  1. ファイアウォール ポリシーに関連付けられているすべてのネットワークを一覧表示します。

    gcloud compute network-firewall-policies describe POLICY_NAME \
        --global
    
  2. 個々の関連付けを削除します。関連付けを削除するには、グローバル ネットワーク ファイアウォール ポリシーに対する compute.SecurityAdmin ロールと、関連する VPC ネットワークに対する compute.networkAdmin` ロールが必要です。

    gcloud compute network-firewall-policies associations delete \
        --name ASSOCIATION_NAME \
        --firewall-policy POLICY_NAME \
        --global-firewall-policy
    
  3. ポリシーを削除します。

    gcloud compute network-firewall-policies delete POLICY_NAME \
        --global
    

関連付けを削除する

ネットワークのファイアウォール ポリシーの適用を停止するには、関連付けを削除します。

ただし、セキュリティ ポリシーを別のファイアウォール ポリシーに入れ替える場合は、最初に既存の関連付けを削除する必要はありません。この関連付けを削除すると、どちらのポリシーも適用されない期間が発生します。代わりに、新しいポリシーを関連付ける際は、既存のポリシーを置き換えます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、プロジェクトまたはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. 削除する関連付けを選択します。

  6. [関連付けを削除] をクリックします。

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

ファイアウォール ポリシー ルールのタスク

グローバル ネットワーク ファイアウォール ルールを作成する

グローバル ネットワーク ファイアウォール ポリシー ルールは、グローバル ネットワーク ファイアウォール ポリシーで作成する必要があります。ルールは、そのルールを含むポリシーを VPC ネットワークに関連付けるまで有効になりません。

各グローバル ネットワーク ファイアウォール ポリシー ルールには、IPv4 または IPv6 の範囲のいずれかを含めることができます。両方を含めることはできません。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、ポリシーが含まれているプロジェクトを選択します。

  3. グローバル ポリシーの名前をクリックします。

  4. [ファイアウォール ルール] タブで、[作成] をクリックします。

  5. ルールのフィールドに入力します。

    1. [優先度] フィールドで、ルールの順序番号を設定します。ここで、0 が最優先されます。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100200300 など)。
    2. [トラフィックの方向] には、上り(内向き)と下り(外向き)のいずれかを選択します。
    3. [一致したときのアクション] で、次のいずれかのオプションを選択します。
      1. 許可: ルールに一致する接続を許可します。
      2. 拒否: ルールに一致する接続を拒否します。
      3. 次に移動: 階層内で 1 つ下のファイアウォール ルールに接続の評価を渡します。
      4. L7 の検査に進む: レイヤ 7 の検査と防止のために構成されたファイアウォール エンドポイントにパケットを送信します。
        • [セキュリティ プロファイル グループ] リストで、セキュリティ プロファイル グループの名前を選択します。
        • パケットの TLS 検査を有効にするには、[TLS インスペクションを有効にする] を選択します。
    4. ログの収集を [オン] または [オフ] に設定します。
    5. ルールのターゲットを指定します。[ターゲット タイプ] フィールドで、次のいずれかのオプションを選択します。
      • ネットワーク内のすべてのインスタンスにルールを適用する場合は、[ネットワーク上のすべてのインスタンス] を選択します。
      • タグを使用して一部のインスタンスにルールを適用する場合は、[セキュアタグ] を選択します。[スコープを選択] をクリックし、タグを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
      • 関連するサービス アカウントを使用して一部のインスタンスにルールを適用する場合は、サービス アカウントを選択して、[サービス アカウントのスコープ] でサービス アカウントのある場所を現在のプロジェクトまたは別のプロジェクトと指定します。続いて、[ターゲット サービス アカウント] フィールドでサービス アカウント名を選択するか入力します。
    6. 上り(内向き)ルールの場合、[送信元] フィルタを指定します。
      • 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、0.0.0.0/0 を使用します。
      • 送信元 IPv6 の範囲で受信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、::/0 を使用します。
      • タグで送信元を制限するには、[タグ] セクションの [スコープを選択] をクリックします。タグを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
    7. 下り(外向き)ルールの場合、[送信先フィルタ] を指定します。
      • 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、0.0.0.0/0 を使用します。
      • 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、::/0 を使用します。
    8. (省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の FQDN を指定します。下り(外向き)ルールを作成する場合は、このルールを適用する宛先の FQDN を選択します。ドメイン名オブジェクトの詳細については、ドメイン名オブジェクトをご覧ください。
    9. (省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の位置情報を選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の位置情報を選択します。位置情報オブジェクトの詳細については、位置情報オブジェクトをご覧ください。
    10. 省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元アドレス グループを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先アドレス グループを選択します。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
    11. 省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の Google Cloud 脅威インテリジェンスのリストを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の Google Cloud 脅威インテリジェンスのリストを選択します。Google 脅威インテリジェンスの詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。
    12. 省略可: 上り(内向き)ルールの場合、送信先フィルタを指定します。

      • 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、0.0.0.0/0 を使用します。
      • 受信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6 範囲] を選択し、[送信先 IPv6 範囲] フィールドに CIDR ブロックを入力します。任意の IPv6 送信先の場合は、::/0 を使用します。詳細については、上り(内向き)ルールの送信先をご覧ください。
    13. 省略可: 下り(外向き)ルールの場合は、[送信元] フィルタを指定します。

      • 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、0.0.0.0/0 を使用します。
      • 送信元 IPv6 の範囲で送信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、::/0 を使用します。詳細については、下り(外向き)ルールの送信元をご覧ください。
    14. [プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。

    15. [作成] をクリックします。

  6. [ルールを追加] をクリックして別のルールを追加します。

  7. ポリシーをネットワークに関連付けるには、[続行] > [ポリシーと VPC ネットワークの関連付け] をクリックするか、[作成] をクリックしてポリシーを作成します。

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP] \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

次のように置き換えます。

  • PRIORITY: ルールの数値評価順序

    ルールは、最も高い優先度から順番に評価されます(最も高い優先度は 0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100200300 など)。

  • ACTION: 次のいずれかのアクション:

    • allow: ルールに一致する接続を許可します。
    • deny: ルールに一致する接続を拒否します。
    • apply_security_profile_group: レイヤ 7 検査用に構成されたファイアウォール エンドポイントにパケットを透過的に送信します。
    • goto_next: 接続評価を階層内の次のレベル(フォルダまたはネットワーク)に渡します。
  • POLICY_NAME: グローバル ネットワーク ファイアウォール ポリシーの名前

  • SECURITY_PROFILE_GROUP: レイヤ 7 検査に使用されるセキュリティ プロファイル グループの名前。この引数は、apply_security_profile_group アクションが選択されている場合にのみ指定します。

  • --tls-inspect: ルールで apply_security_profile_group アクションが選択されている場合、TLS インスペクション ポリシーを使用して TLS トラフィックを検査します。TLS インスペクションはデフォルトで無効になっています。また、--no-tls-inspect を指定することもできます。

  • TARGET_SECURE_TAG: ターゲットを定義するセキュアタグのカンマ区切りリスト

  • SERVICE_ACCOUNT: ターゲットを定義するサービス アカウントのカンマ区切りリスト

  • DIRECTION: ルールが ingress ルールまたは egress ルールのどちらであるかを示します。デフォルトは ingress です。

    • トラフィックの送信元の IP アドレス範囲を指定するには、--src-ip-ranges を含めます。
    • トラフィックの宛先の IP アドレス範囲を指定するには、--dest-ip-ranges を含めます。

    詳細については、ターゲット送信元宛先をご覧ください。

  • SRC_NETWORK_SCOPE: 上り(内向き)ルールが適用される送信元ネットワーク トラフィックのスコープを示します。この引数は、次のいずれかの値に設定できます。

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    この引数の値を消去するには、空の文字列を使用します。空の値は、すべてのネットワーク スコープを示します。詳細については、ネットワーク スコープの種類についてをご覧ください。

  • SRC_VPC_NETWORK: VPC ネットワークのカンマ区切りのリスト

    --src-networks は、--src-network-scopeVPC_NETWORKS に設定されている場合にのみ使用できます。

  • DEST_NETWORK_SCOPE: 下り(外向き)ルールが適用される宛先ネットワーク トラフィックのスコープを示します。この引数は、次のいずれかの値に設定できます。

    • INTERNET
    • NON_INTERNET

    この引数の値を消去するには、空の文字列を使用します。空の値は、すべてのネットワーク スコープを示します。詳細については、ネットワーク スコープの種類についてをご覧ください。

  • IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りのリスト(すべての IPv4 アドレス範囲またはすべての IPv6 アドレス範囲)。例:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • SRC_SECURE_TAG: タグのカンマ区切りリスト。

    ネットワーク スコープが INTERNET に設定されている場合、ソース セキュアタグは使用できません。

  • COUNTRY_CODE: 2 文字の国コードのカンマ区切りリスト

    • 上り(内向き)方向の場合は、--src-region-code フラグで国コードを指定します。下り(外向き)方向で --src-region-code フラグを使用することはできません。また、--src-network-scopeNON_INTERNETVPC_NETWORKINTRA_VPC に設定されている場合も使用できません。
    • 下り(外向き)方向の場合、国コードは --dest-region-code フラグで指定します。上り(内向き)方向で --dest-region-code フラグを使用することはできません。また、--dest-network-scopeNON_INTERNET に設定されている場合も使用できません。
  • LIST_NAMES: Google 脅威インテリジェンス リストの名前のカンマ区切りリスト

    • 上り(内向き)方向の場合は、--src-threat-intelligence フラグで送信元の Google Threat Intelligence リストを指定します。下り(外向き)方向で --src-threat-intelligence フラグを使用することはできません。また、--src-network-scopeNON_INTERNETVPC_NETWORKINTRA_VPC に設定されている場合も使用できません。
    • 下り(外向き)方向の場合は、--dest-threat-intelligence フラグで宛先の Google 脅威インテリジェンス リストを指定します。上り(内向き)方向で、または --dest-network-scopeNON_INTERNET に設定されている場合に --dest-threat-intelligence フラグを使用することはできません。
  • ADDR_GRP_URL: アドレス グループの一意の URL 識別子

    • 上り(内向き)方向の場合は --src-address-groups フラグで送信元のアドレス グループを指定します。下り(外向き)方向の場合、--src-address-groups フラグは使用できません。
    • 下り(外向き)方向の場合は --dest-address-groups フラグで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-address-groups フラグは使用できません。
  • DOMAIN_NAME: ドメイン名のカンマ区切りリスト。ドメイン名の形式で説明されている形式で指定します。

    • 上り(内向き)方向の場合は、--src-fqdns フラグで送信元のドメイン名を指定します。下り(外向き)方向の場合は、--src-fqdns フラグは使用できません。
    • 下り(外向き)方向の場合は --dest-fqdns フラグで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-fqdns フラグは使用できません。
  • PROTOCOL_PORT: プロトコル名または番号(tcp,17)、プロトコルと宛先ポート(tcp:80)、プロトコルと宛先ポートの範囲(tcp:5000-6000)のカンマ区切りリスト。

    プロトコルなしでは、ポートまたはポート範囲を指定することはできません。 ICMP の場合、ポートまたはポート範囲を指定できません。例: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    詳細については、プロトコルとポートをご覧ください。

  • --enable-logging--no-enable-logging: 指定されたルールに対してファイアウォール ルールロギングを有効または無効にします。

  • --disabled: ファイアウォール ルールが存在しても、接続の処理時に考慮されないファイアウォール ルールを示します。このフラグを省略すると、ルールが有効になります。または、--no-disabled を指定します。

ルールを更新する

フィールドの説明については、ファイアウォール ルールの作成をご覧ください。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、ポリシーが含まれているプロジェクトを選択します。

  3. ポリシーをクリックします。

  4. ルールの優先度をクリックします。

  5. [編集] をクリックします。

  6. 変更対象のフィールドに修正を加えます。

  7. [保存] をクリックします。

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

ルールの説明を取得する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、ポリシーが含まれているプロジェクトを選択します。

  3. ポリシーをクリックします。

  4. ルールの優先度をクリックします。

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

次のように置き換えます。

  • PRIORITY: 表示するルールの優先度。各ルールの優先度は異なるため、この設定はルールによって一意に識別されます。
  • POLICY_NAME: ルールを含むポリシーの名前

ポリシーからルールを削除する

ポリシーからルールを削除すると、そのルールを継承しているすべての VM からルールが削除されます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、ポリシーが含まれているプロジェクトを選択します。

  3. ポリシーをクリックします。

  4. 削除するルールを選択します。

  5. [削除] をクリックします。

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

次のように置き換えます。

  • PRIORITY: ポリシーから削除するルールの優先度
  • POLICY_NAME: そのルールを含むポリシー

ポリシー間でルールのクローンを作成する

ターゲット ポリシーからすべてのルールを削除し、ソースポリシーのルールで置き換えます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、ポリシーが含まれているプロジェクトを選択します。

  3. ルールのコピー元ポリシーをクリックします。

  4. 画面の上部の [クローン] をクリックします。

  5. ターゲット ポリシーの名前を指定します。

  6. 新しいポリシーをすぐに関連付ける場合は、[続行] > [ネットワーク ポリシーをリソースに関連付ける] をクリックします。

  7. [クローン] をクリックします。

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

次のように置き換えます。

  • POLICY_NAME: クローンが作成されたルールに置き換えるターゲット ポリシー。
  • SOURCE_POLICY: ルールのクローンを作成するソースポリシーのリソースの URL。

ネットワークで有効なファイアウォール ルールを取得する

指定した VPC ネットワークに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシーを表示できます。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. ファイアウォール ポリシー ルールを表示するネットワークをクリックします。

  3. [ファイアウォール ポリシー] をクリックします。

  4. ファイアウォール ポリシーを開いて、このネットワークに適用されるルールを表示します。

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

次のように置き換えます。

  • NETWORK_NAME: 有効なルールを表示するネットワーク。

また、ネットワークの有効なファイアウォール ルールは [ファイアウォール] ページでも確認できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。

  3. ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。

VM インターフェースで有効なファイアウォール ルールを取得する

指定した Compute Engine VM インターフェースに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示できます。

コンソール

  1. Google Cloud コンソールの [VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. プロジェクト セレクタのプルダウン メニューで、VM を含むプロジェクトを選択します。

  3. VM をクリックします。

  4. [ネットワーク インターフェース] で、インターフェースをクリックします。

  5. [ファイアウォールとルートの詳細] で有効なファイアウォール ルールを確認します。

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

次のように置き換えます。

  • INSTANCE_NAME: 有効なルールを表示する VM。インターフェースが指定されていない場合、コマンドはプライマリ インターフェース(nic0)のルールを返します。
  • INTERFACE: 有効なルールを表示する VM インターフェース。デフォルト値は nic0 です。
  • ZONE: VM のゾーン。目的のゾーンがすでにデフォルトとして選択されている場合、この行は省略可能です。