このページは、グローバル ネットワーク ファイアウォール ポリシーの概要で説明されているコンセプトを理解していることを前提としています。
ファイアウォール ポリシーのタスク
グローバル ネットワーク ファイアウォール ポリシーを作成する
プロジェクト内の任意の Virtual Private Cloud(VPC)ネットワークにポリシーを作成できます。ポリシーを作成したら、プロジェクト内の任意の VPC ネットワークに関連付けることができます。関連付けが終わると、関連するネットワークの仮想マシン(VM)インスタンスに対してポリシーのルールがアクティブになります。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのリストで、組織内のプロジェクトを選択します。
[ファイアウォール ポリシーを作成] をクリックします。
[名前] フィールドに、ポリシーの名前を入力します。
[デプロイのスコープ] で [グローバル] を選択します。
ポリシーのルールを作成する場合は、[続行] をクリックしてから、[ルールを追加] をクリックします。
詳細については、グローバル ネットワーク ファイアウォール ルールを作成するをご覧ください。
ポリシーを VPC ネットワークに関連付けるには、[続行] をクリックしてから [関連付け] をクリックします。
詳細については、ポリシーをネットワークに関連付けるをご覧ください。
[作成] をクリックします。
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION --global
次のように置き換えます。
NETWORK_FIREWALL_POLICY_NAME: ポリシーの名前DESCRIPTION: ポリシーの説明
ポリシーをネットワークに関連付ける
ポリシーをネットワークに関連付けると、そのネットワーク内の VM のポリシールールがアクティブになります。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
[関連付けを追加] をクリックします。
プロジェクト内のネットワークを選択します。
[関連付け] をクリックします。
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
[ --name ASSOCIATION_NAME ] \
--global-firewall-policy
次のように置き換えます。
POLICY_NAME: ポリシーの略称またはシステムによって生成された名前。NETWORK_NAME: ネットワークの名前。ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前はnetwork-NETWORK_NAMEに設定されます。
グローバル ネットワーク ファイアウォール ポリシーの情報を取得する
すべてのファイアウォール ルールを含む、ポリシーのすべての詳細を表示できます。また、ポリシー内のすべてのルールにある属性も確認できます。この属性は、ポリシーごとの上限としてカウントされます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
グローバル ネットワーク ファイアウォール ポリシーの説明を更新する
更新できるポリシー フィールドは [説明] フィールドのみです。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[編集] をクリックします。
[説明] フィールドのテキストを変更します。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
グローバル ネットワーク ファイアウォール ポリシーを一覧表示する
プロジェクトで利用可能なポリシーのリストを表示できます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
[ネットワーク ファイアウォール ポリシー] セクションに、プロジェクトで使用可能なポリシーが表示されます。
gcloud
gcloud compute network-firewall-policies list --global
グローバル ネットワーク ファイアウォール ポリシーを削除する
グローバル ネットワーク ファイアウォール ポリシーを削除する前に、すべての関連付けを削除する必要があります。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
削除するポリシーをクリックします。
[関連付け] タブをクリックします。
すべての関連付けを選択します。
[関連付けを削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ファイアウォール ポリシーに関連付けられているすべてのネットワークを一覧表示します。
gcloud compute network-firewall-policies describe POLICY_NAME \ --global個々の関連付けを削除します。関連付けを削除するには、グローバル ネットワーク ファイアウォール ポリシーに対する
compute.SecurityAdminロールと、関連する VPC ネットワークに対するcompute.networkAdminロールが必要です。gcloud compute network-firewall-policies associations delete \ --name ASSOCIATION_NAME \ --firewall-policy POLICY_NAME \ --global-firewall-policyポリシーを削除します。
gcloud compute network-firewall-policies delete POLICY_NAME \ --global
関連付けを削除する
ネットワークのファイアウォール ポリシーの適用を停止するには、関連付けを削除します。
ただし、セキュリティ ポリシーを別のファイアウォール ポリシーに入れ替える場合は、最初に既存の関連付けを削除する必要はありません。この関連付けを削除すると、どちらのポリシーも適用されない期間が発生します。代わりに、新しいポリシーを関連付ける際は、既存のポリシーを置き換えます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、プロジェクトまたはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
削除する関連付けを選択します。
[関連付けを削除] をクリックします。
gcloud
gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--global-firewall-policy
ファイアウォール ポリシー ルールのタスク
グローバル ネットワーク ファイアウォール ルールを作成する
グローバル ネットワーク ファイアウォール ポリシー ルールは、グローバル ネットワーク ファイアウォール ポリシーで作成する必要があります。ルールは、そのルールを含むポリシーを VPC ネットワークに関連付けるまで有効になりません。
各グローバル ネットワーク ファイアウォール ポリシー ルールには、IPv4 または IPv6 の範囲のいずれかを含めることができます。両方を含めることはできません。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
グローバル ポリシーの名前をクリックします。
[ファイアウォール ルール] タブで、[作成] をクリックします。
ルールのフィールドに入力します。
- [優先度] フィールドで、ルールの順序番号を設定します。ここで、
0が最優先されます。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100、200、300など)。 - [トラフィックの方向] には、上り(内向き)と下り(外向き)のいずれかを選択します。
- [一致したときのアクション] で、次のいずれかのオプションを選択します。
- 許可: ルールに一致する接続を許可します。
- 拒否: ルールに一致する接続を拒否します。
- 次に移動: 階層内で 1 つ下のファイアウォール ルールに接続の評価を渡します。
- L7 検査に進む: レイヤ 7 の検査と防止のために構成されたファイアウォール エンドポイントにパケットを送信します。
- [セキュリティ プロファイル グループ] リストで、セキュリティ プロファイル グループの名前を選択します。
- パケットの TLS 検査を有効にするには、[TLS インスペクションを有効にする] を選択します。
- ログの収集を [オン] または [オフ] に設定します。
- ルールのターゲットを指定します。[ターゲット タイプ] フィールドで、次のいずれかのオプションを選択します。
- ネットワーク内のすべてのインスタンスにルールを適用する場合は、[ネットワーク上のすべてのインスタンス] を選択します。
- タグを使用して一部のインスタンスにルールを適用する場合は、[セキュアタグ] を選択します。[スコープを選択] をクリックし、タグを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
- 関連するサービス アカウントを使用して一部のインスタンスにルールを適用する場合は、まず [サービス アカウント] を選択し、[サービス アカウントのスコープ] でサービス アカウントが現在のプロジェクトにあるか、別のプロジェクトにあるかを示します。その後、[ターゲット サービス アカウント] フィールドでサービス アカウント名を選択するか入力します。
上り(内向き)ルールの場合は、送信元フィルタを指定します。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で受信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。 - タグで送信元を制限するには、[タグ] セクションで [スコープを選択] をクリックします。タグを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
下り(外向き)ルールの場合は、送信先フィルタを指定します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、
::/0を使用します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の FQDN を指定します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の FQDN を選択します。ドメイン名オブジェクトの詳細については、FQDN オブジェクトをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の位置情報を選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の位置情報を選択します。位置情報オブジェクトの詳細については、位置情報オブジェクトをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元アドレス グループを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先アドレス グループを選択します。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の Google Cloud 脅威インテリジェンスのリストを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の Google Cloud 脅威インテリジェンスのリストを選択します。Google 脅威インテリジェンスの詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。
省略可: 上り(内向き)ルールの場合は、送信先フィルタを指定します。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 受信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6 範囲] を選択し、[送信先 IPv6 範囲] フィールドに CIDR ブロックを入力します。任意の IPv6 送信先の場合は、
::/0を使用します。詳細については、上り(内向き)ルールの送信先をご覧ください。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
省略可: 下り(外向き)ルールの場合は、送信元フィルタを指定します。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で送信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。詳細については、下り(外向き)ルールの送信元をご覧ください。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
[プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。
[作成] をクリックします。
- [優先度] フィールドで、ルールの順序番号を設定します。ここで、
[ルールを追加] をクリックして別のルールを追加します。
ポリシーをネットワークに関連付けるには、[続行] > [ポリシーと VPC ネットワークの関連付け] をクリックするか、[作成] をクリックしてポリシーを作成します。
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--action ACTION \
--firewall-policy POLICY_NAME \
[--security-profile-group SECURITY_PROFILE_GROUP] \
[--tls-inspect | --no-tls-inspect] \
--description DESCRIPTION \
[--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
[--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
[--direction DIRECTION] \
[--src-network-scope SRC_NETWORK_SCOPE] \
[--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
[--dest-network-scope DEST_NETWORK_SCOPE] \
[--src-ip-ranges IP_RANGES] \
[--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
[--dest-ip-ranges IP_RANGES] \
[--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
[--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
[--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
[--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
[--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
[--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
[--layer4-configs PROTOCOL_PORT] \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
--global-firewall-policy
次のように置き換えます。
PRIORITY: ルールの数値評価順序ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100、200、300など)。ACTION: 次のいずれかのアクション:allow: ルールに一致する接続を許可します。deny: ルールに一致する接続を拒否します。apply_security_profile_group: レイヤ 7 検査用に構成されたファイアウォール エンドポイントにパケットを透過的に送信します。goto_next: 接続評価を階層内の次のレベル(フォルダまたはネットワーク)に渡します。
POLICY_NAME: グローバル ネットワーク ファイアウォール ポリシーの名前SECURITY_PROFILE_GROUP: レイヤ 7 検査に使用されるセキュリティ プロファイル グループの名前。この引数は、apply_security_profile_groupアクションが選択されている場合にのみ指定します。--tls-inspect: ルールでapply_security_profile_groupアクションが選択されている場合、TLS インスペクション ポリシーを使用して TLS トラフィックを検査します。TLS インスペクションはデフォルトで無効になっています。また、--no-tls-inspectを指定することもできます。SERVICE_ACCOUNT: ターゲットを定義するサービス アカウントのカンマ区切りリストDIRECTION: ルールがingressルールまたはegressルールのどちらであるかを示します。デフォルトはingressです。- トラフィックの送信元の IP アドレス範囲を指定するには、
--src-ip-rangesを含めます。 - トラフィックの宛先の IP アドレス範囲を指定するには、
--dest-ip-rangesを含めます。
- トラフィックの送信元の IP アドレス範囲を指定するには、
SRC_NETWORK_SCOPE: 上り(内向き)ルールが適用される送信元ネットワーク トラフィックのスコープを示します。この引数は、次のいずれかの値に設定できます。INTERNETNON_INTERNETVPC_NETWORKSINTRA_VPC
この引数の値を消去するには、空の文字列を使用します。空の値は、すべてのネットワーク スコープを示します。詳細については、ネットワーク スコープの種類についてをご覧ください。
SRC_VPC_NETWORK: VPC ネットワークのカンマ区切りのリスト--src-networksは、--src-network-scopeがVPC_NETWORKSに設定されている場合にのみ使用できます。DEST_NETWORK_SCOPE: 下り(外向き)ルールが適用される宛先ネットワーク トラフィックのスコープを示します。この引数は、次のいずれかの値に設定できます。INTERNETNON_INTERNET
この引数の値を消去するには、空の文字列を使用します。空の値は、すべてのネットワーク スコープを示します。詳細については、ネットワーク スコープの種類についてをご覧ください。
IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りのリスト(すべての IPv4 アドレス範囲またはすべての IPv6 アドレス範囲)。例:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96SRC_SECURE_TAG: タグのカンマ区切りリスト。ネットワーク スコープが
INTERNETに設定されている場合、ソース セキュアタグは使用できません。COUNTRY_CODE: 2 文字の国コードのカンマ区切りリスト- 上り(内向き)方向の場合は、
--src-region-codeフラグで国コードを指定します。下り(外向き)方向で--src-region-codeフラグを使用することはできません。また、--src-network-scopeがNON_INTERNET、VPC_NETWORK、INTRA_VPCに設定されている場合も使用できません。 - 下り(外向き)方向の場合、国コードは
--dest-region-codeフラグで指定します。上り(内向き)方向の場合、--dest-region-codeフラグを使用できません。
- 上り(内向き)方向の場合は、
LIST_NAMES: Google 脅威インテリジェンス リストの名前のカンマ区切りリスト- 上り(内向き)方向の場合は、
--src-threat-intelligenceフラグで送信元の Google Threat Intelligence リストを指定します。下り(外向き)方向で--src-threat-intelligenceフラグを使用することはできません。また、--src-network-scopeがNON_INTERNET、VPC_NETWORK、またはINTRA_VPCに設定されている場合も使用できません。 - 下り(外向き)方向の場合は、
--dest-threat-intelligenceフラグで宛先の Google 脅威インテリジェンス リストを指定します。上り(内向き)方向の場合は、--dest-threat-intelligenceフラグは使用できません。
- 上り(内向き)方向の場合は、
ADDR_GRP_URL: アドレス グループの一意の URL 識別子- 上り(内向き)方向の場合は
--src-address-groupsフラグで送信元のアドレス グループを指定します。下り(外向き)方向の場合、--src-address-groupsフラグは使用できません。 - 下り(外向き)方向の場合は
--dest-address-groupsフラグで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-address-groupsフラグは使用できません。
- 上り(内向き)方向の場合は
DOMAIN_NAME: ドメイン名のカンマ区切りリスト。ドメイン名の形式で説明されている形式で指定します。- 上り(内向き)方向の場合は、
--src-fqdnsフラグで送信元のドメイン名を指定します。下り(外向き)方向の場合は、--src-fqdnsフラグは使用できません。 - 下り(外向き)方向の場合は
--dest-fqdnsフラグで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-fqdnsフラグは使用できません。
- 上り(内向き)方向の場合は、
PROTOCOL_PORT: プロトコル名または番号(tcp,17)、プロトコルと宛先ポート(tcp:80)、プロトコルと宛先ポートの範囲(tcp:5000-6000)のカンマ区切りリスト。プロトコルなしでは、ポートまたはポート範囲を指定することはできません。 ICMP の場合、ポートまたはポート範囲を指定できません。例:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp詳細については、プロトコルとポートをご覧ください。
--enable-logging、--no-enable-logging: 指定されたルールに対してファイアウォール ルールロギングを有効または無効にします。--disabled: ファイアウォール ルールが存在しても、接続の処理時に考慮されないファイアウォール ルールを示します。このフラグを省略すると、ルールが有効になります。または、--no-disabledを指定します。
ルールを更新する
フィールドの説明については、グローバル ネットワーク ファイアウォール ルールを作成するをご覧ください。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
[編集] をクリックします。
変更対象のフィールドに修正を加えます。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies rules update RULE_PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy \
[...fields you want to modify...]
ルールの説明を取得する
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME --global-firewall-policy
次のように置き換えます。
PRIORITY: 表示するルールの優先度。各ルールの優先度は異なるため、この設定はルールによって一意に識別されます。POLICY_NAME: ルールを含むポリシーの名前
ポリシーからルールを削除する
ポリシーからルールを削除すると、そのルールを継承しているすべての VM からルールが削除されます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
削除するルールを選択します。
[削除] をクリックします。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--global-firewall-policy
次のように置き換えます。
PRIORITY: ポリシーから削除するルールの優先度POLICY_NAME: そのルールを含むポリシー
ポリシー間でルールのクローンを作成する
ターゲット ポリシーからすべてのルールを削除し、ソースポリシーのルールで置き換えます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ルールのコピー元ポリシーをクリックします。
画面の上部の [クローン] をクリックします。
ターゲット ポリシーの名前を指定します。
新しいポリシーをすぐに関連付ける場合は、[続行] > [ネットワーク ポリシーをリソースに関連付ける] をクリックします。
[クローン] をクリックします。
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \
--source-firewall-policy SOURCE_POLICY \
--global
次のように置き換えます。
POLICY_NAME: クローンが作成されたルールに置き換えるターゲット ポリシー。SOURCE_POLICY: ルールのクローンを作成するソースポリシーのリソースの URL。
ネットワークで有効なファイアウォール ルールを取得する
指定した VPC ネットワークに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシーを表示できます。
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
ファイアウォール ポリシー ルールを表示するネットワークをクリックします。
[ファイアウォール ポリシー] をクリックします。
ファイアウォール ポリシーを開いて、このネットワークに適用されるルールを表示します。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
次のように置き換えます。
NETWORK_NAME: 有効なルールを表示するネットワーク。
また、ネットワークの有効なファイアウォール ルールは [ファイアウォール] ページでも確認できます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。
ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。
VM インターフェースで有効なファイアウォール ルールを取得する
指定した Compute Engine VM インターフェースに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示できます。
コンソール
Google Cloud コンソールで [VM インスタンス] ページに移動します。
プロジェクト選択メニューで、VM を含むプロジェクトを選択します。
VM をクリックします。
[ネットワーク インターフェース] で、インターフェースをクリックします。
[ファイアウォールとルートの詳細] で有効なファイアウォール ルールを確認します。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
次のように置き換えます。
INSTANCE_NAME: 有効なルールを表示する VM。インターフェースが指定されていない場合、コマンドはプライマリ インターフェース(nic0)のルールを返します。INTERFACE: 有効なルールを表示する VM インターフェース。デフォルト値はnic0です。ZONE: VM のゾーン。目的のゾーンがすでにデフォルトとして選択されている場合、この行は省略可能です。