ファイアウォール ルールを構成する

このページでは、 Google Cloud ファイアウォール ルールとピア ネットワークのファイアウォール ルールを構成する方法について説明します。

ピア ネットワークに接続するように Cloud VPN トンネルを構成する場合は、 Google Cloud とピア ネットワークのファイアウォール ルールを確認のうえニーズに合わせて変更します。ピア ネットワークが異なる Virtual Private Cloud(VPC)ネットワークである場合は、ネットワーク接続の両側に Google Cloud ファイアウォール ルールを構成します。

Cloud VPN の詳細については、次のリソースをご覧ください。

  • Cloud VPN を設定する前に検討すべきベスト プラクティスについては、ベスト プラクティスをご覧ください。

  • Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。

  • このページで使用している用語の定義については、主な用語をご覧ください。

Google Cloud ファイアウォール ルール

Google Cloud ファイアウォール ルールは、Cloud VPN トンネル経由で VPC ネットワーク内の仮想マシン(VM)インスタンス間で送受信されるパケットに適用されます。

暗黙の下り(外向き)許可ルールは、 Google Cloud ネットワーク内の VM インスタンスや他のリソースが発信リクエストを行って確立されたレスポンスを受信することを許可します。ただし、暗黙の上り(内向き)拒否ルールは、 Google Cloud リソースへの着信トラフィックをすべてブロックします。

ピア ネットワークから Google Cloudへの上り(内向き)トラフィックを許可するには、少なくともファイアウォール ルールは作成する必要があります。特定の種類のトラフィックを拒否する下り(外向き)ルールを作成した場合は、他の下り(外向き)ルールの作成も必要になることがあります。

プロトコル UDP 500、UDP 4500、ESP(IPsec、IP プロトコル 50)を含むトラフィックは、Cloud VPN ゲートウェイ上の 1 つ以上の外部 IP アドレス間で常に許可されます。ただし、Cloud VPN ゲートウェイからピア VPN ゲートウェイに送信されるカプセル化された後の IPsec パケットには、 Google Cloud のファイアウォール ルールは適用されません。

Google Cloud ファイアウォール ルールの詳細については、VPC ファイアウォール ルールの概要をご覧ください。

構成例

上り(内向き)トラフィックまたは下り(外向き)トラフィックの複数の例については、VPC ドキュメントの構成例をご覧ください。

次の例では、上り(内向き)許可ファイアウォール ルールを作成します。このルールでは、ピア ネットワークの CIDR から VPC ネットワーク内の VM へのすべての TCP、UDP、ICMP トラフィックを許可します。

コンソール

  1. Google Cloud コンソールで、[VPN トンネル] ページに移動します。

    [VPN トンネル] に移動

  2. 使用する VPN トンネルをクリックします。

  3. [VPN ゲートウェイ] セクションで、VPC ネットワークの名前をクリックします。この操作を行うと、トンネルを含む [VPC ネットワークの詳細] ページが表示されます。

  4. [ファイアウォール ルール] タブをクリックします。

  5. [ファイアウォール ルールを追加] をクリックします。TCP、UDP、ICMP のルールを追加します。

    • 名前:allow-tcp-udp-icmp」と入力します。
    • 送信元フィルタ: [IPv4 範囲] を選択します。
    • 送信元 IP 範囲: トンネルの作成時に指定したリモート ネットワーク IP の範囲の値を入力します。ピア ネットワークの範囲が複数ある場合は、それぞれについて入力します。入力するたびに、Tab キーを押してください。ピア ネットワークのすべての送信元 IPv4 アドレスからのトラフィックを許可するには、0.0.0.0/0 を指定します。
    • 指定するプロトコルまたはポート: tcpudp を選択します。
    • その他のプロトコル:icmp」と入力します。
    • ターゲットタグ: 有効な任意のタグを追加します。

  6. [作成] をクリックします。

ピア ネットワークから VPC ネットワーク上の IPv6 アドレスへのアクセスを許可する必要がある場合は、allow-ipv6-tcp-udp-icmpv6 ファイアウォール ルールを追加します。

  1. [ファイアウォール ルールを追加] をクリックします。TCP、UDP、ICMPv6 のルールを追加します。
    • 名前:allow-ipv6-tcp-udp-icmpv6」と入力します。
    • 送信元フィルタ: [IPv6 範囲] を選択します。
    • 送信元 IP 範囲: トンネルの作成時に指定したリモート ネットワーク IP の範囲の値を入力します。ピア ネットワークの範囲が複数ある場合は、それぞれについて入力します。入力するたびに、Tab キーを押してください。ピア ネットワークのすべての送信元 IPv6 アドレスからのトラフィックを許可するには、::/0 を指定します。
    • 指定するプロトコルまたはポート: tcpudp を選択します。
    • その他のプロトコル:58」と入力します。58 は ICMPv6 のプロトコル番号です。
    • ターゲットタグ: 有効な任意のタグを追加します。
  2. [作成] をクリックします。

必要に応じて他のファイアウォール ルールを作成します。

また、 Google Cloud コンソールの [ファイアウォール] ページでルールを作成することもできます。

gcloud

次のコマンドを実行します。

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

IPV4_PEER_SOURCE_RANGE は、ピア ネットワークの送信元 IPv4 範囲に置き換えます。

複数のピア ネットワーク範囲がある場合は、[source-ranges] フィールドにカンマ区切りのリストを指定します(--source-ranges 192.168.1.0/24,192.168.2.0/24)。

ピア ネットワークのすべての送信元 IPv4 アドレスからのトラフィックを許可するには、0.0.0.0/0 を指定します。

IPv6 ファイアウォール ルール

ピア ネットワークから VPC ネットワーク上の IPv6 アドレスへのアクセスを許可する必要がある場合は、allow-ipv6-tcp-udp-icmpv6 ファイアウォール ルールを追加します。

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 は ICMPv6 のプロトコル番号です。

PEER_SOURCE_RANGE は、ピア ネットワークの送信元 IPv6 範囲に置き換えます。複数のピア ネットワーク範囲がある場合は、[source-ranges] フィールドにカンマ区切りのリストを指定します(--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64)。

ピア ネットワークのすべての送信元 IPv6 アドレスからのトラフィックを許可するには、::/0 を指定します。

その他のファイアウォール ルール

必要に応じて他のファイアウォール ルールを作成します。

firewall-rules コマンドの詳細については、gcloud ファイアウォール ルールのドキュメントをご覧ください。

ピア ファイアウォール ルール

ピア ファイアウォール ルールを構成する際は、次の点を考慮してください。

  • VPC ネットワークのサブネットで使用される IP 範囲間の下り(外向き)と上り(内向き)トラフィックを許可するルールを構成します。
  • すべてのプロトコルとポートを許可する、またはニーズを満たすのに必要な一連のプロトコルとポートのみにトラフィックを制限できます。
  • ping を使用して Google Cloudでピアシステムとインスタンスまたはリソース間の通信を可能にする必要がある場合は、ICMP トラフィックを許可します。
  • ping を使用してピア ネットワーク上の IPv6 アドレスにアクセスする必要がある場合は、ピア ファイアウォールで ICMPv6(IP プロトコル 58)を許可します。
  • ネットワーク デバイス(セキュリティ アプライアンス、ファイアウォール デバイス、スイッチ、ルーター、ゲートウェイ)とシステムで実行されているソフトウェア(オペレーティング システムに組み込まれているファイアウォール ソフトウェアなど)の両方で、オンプレミス ファイアウォールを実装できます。トラフィックを許可するには、VPC ネットワークへのパスのすべてのファイアウォール ルールを適切に構成します。
  • VPN トンネルで動的(BGP)ルーティングを使用する場合は、リンクローカル IP アドレスに対して BGP トラフィックを許可していることを確認してください。詳細については、次のセクションをご覧ください。

ピア ゲートウェイの BGP に関する考慮事項

動的(BGP)ルーティングは TCP ポート 179 を使用してルート情報を交換します。Cloud VPN ゲートウェイを含む一部の VPN ゲートウェイでは、動的ルーティングを選択するとこのトラフィックが自動的に許可されます。お使いのピア VPN ゲートウェイで自動的に許可されない場合、TCP ポート 179 で送受信トラフィックを許可するように構成します。すべての BGP IP アドレスはリンクローカル 169.254.0.0/16 CIDR ブロックを使用します。

ピア VPN ゲートウェイがインターネットに直接接続されていない場合は、少なくとも BGP トラフィック(TCP ポート 179)と ICMP トラフィックを VPN ゲートウェイに渡すように、ピア VPN ゲートウェイ、ピアルーター、ファイアウォール、セキュリティ アプライアンスを構成してください。ICMP は必須ではありませんが、Cloud Router と VPN ゲートウェイの間の接続をテストする際に有用です。ピア ファイアウォール ルールの適用が必要な IP アドレスの範囲には、Cloud Router とゲートウェイの BGP IP アドレスを含める必要があります。

次のステップ

  • コンポーネントが Cloud VPN と適切に通信していることを確認するには、VPN ステータスの確認をご覧ください。
  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。