外部アクセスルール
Google Cloud VMware Engine は、ファイアウォール ルールを使用して外部 IP アドレスへのアクセスを制御します。その他のアクセス制御はすべて、NSX-T Data Center のファイアウォール設定で管理します。詳しくは、Manager モードのファイアウォールをご覧ください。
準備
- プライベート クラウドに適用されるネットワーク ポリシーで、インターネット アクセス サービスと外部 IP アドレス サービスを有効にします。
- 外部 IP を割り当てます。
外部アクセスルールの作成
Google Cloud コンソール、Google Cloud CLI、または VMware Engine API を使用して外部アクセスルールを作成するには、次のようにします。
コンソール
Google Cloud コンソールを使用して外部アクセス ファイアウォール ルールを編集するには、次の操作を行います。
Google Cloud コンソールで、[外部アクセスルール] ページに移動します。
[作成] をクリックします。
新しいファイアウォール ルールの詳細を入力します。詳細については、ファイアウォール ルールのプロパティをご覧ください。
[作成] をクリックして、プロジェクト内のファイアウォール ルールのリストに新しいファイアウォール ルールを追加します。
gcloud
Google Cloud CLI で gcloud vmware network-policies create
コマンドを入力して、外部アクセス ルールを作成します。
gcloud vmware network-policies external-access-rules create RULE_NAME \ --location=REGION \ --network-policy=NETWORK_POLICY_NAME \ --priority=1000 \ --ip-protocol=TCP \ --destination-ranges=0.0.0.0/0 \ --source-ports=22,10000-11000 \ --destination-ports=22 \ --action=ACTION
以下を置き換えます。
RULE_NAME
: このルールの名前REGION
: このリクエストのリージョンNETWORK_POLICY_NAME
: このリクエストのネットワーク ポリシーACTION
: 実行するアクション(ACCESS
、DENY
など)
API
VMware Engine API を使用して外部アクセスのファイアウォール ルールを作成するには、POST
リクエストを行います。
POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME" '{ "priority": 1000, "action": "ACTION", "ip_protocol": "tcp", "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}], "destination_ports": ["22"], "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}], "source_ports": ["22", "10000-11000"] }'
以下を置き換えます。
PROJECT_ID
: このリクエストのプロジェクトREGION
: このリクエストのリージョンNETWORK_POLICY_NAME
: このリクエストのネットワーク ポリシーRULE_NAME
: このルールの名前ACTION
: 実行するアクション(ACCESS
、DENY
など)
外部アクセスルールを一覧表示する
Google Cloud コンソール、Google Cloud CLI、または VMware Engine API を使用して外部アクセスルールを一覧表示するには、次のようにします。
コンソール
Google Cloud コンソールを使用して外部アクセスルールを一覧表示するには、次のようにします。
Google Cloud コンソールで、[外部アクセスルール] ページに移動します。
[概要] ページには、すべての外部アクセスルールが記載された表が示されます。属性の変更については、こちらの概要ページをご覧ください。
gcloud
Google Cloud CLI を使用して外部アクセスルールを一覧表示するには、gcloud vmware network-policies external-access-rules list
コマンドを使用します。
gcloud vmware network-policies external-access-rules list \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
以下を置き換えます。
NETWORK_POLICY_NAME
: このリクエストのネットワーク ポリシーREGION
: このリクエストのリージョン。
API
VMware Engine API を使用して外部アクセスのファイアウォール ルールを一覧表示するには、GET
リクエストを行います。
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"
以下を置き換えます。
PROJECT_ID
: このプロジェクトの IDREGION
: このリクエストのリージョンNETWORK_POLICY_NAME
: このリクエストのネットワーク ポリシー
外部アクセスルールを編集する
Google Cloud コンソール、Google Cloud CLI、または VMware Engine API を使用して外部アクセスルールを編集するには、次のようにします。
コンソール
Google Cloud コンソールを使用して外部アクセスルールを編集するには、次の手順を行います。
Google Cloud コンソールで、[外部アクセスルール] ページに移動します。
行の末尾にあるその他アイコン
をクリックし、[編集] を選択します。
gcloud
Google Cloud CLI を使用して外部アクセスルールを編集するには、gcloud vmware network-policies update
コマンドを使用します。
gcloud vmware network-policies external-access-rules update RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION \ --action=ACTION \ --ip-protocol UDP \ --priority 999
以下を置き換えます。
RULE_NAME
: このルールの名前NETWORK_POLICY_NAME
: このリクエストのネットワーク ポリシーREGION
: このリクエストのリージョン
API
VMware Engine API を使用して外部アクセス ルールを編集するには、PATCH
リクエストを行います。
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority" '{ "action": "ACTION", "ip_protocol": "udp", "priority": 999 }'
以下を置き換えます。
PROJECT_ID
: このプロジェクトの IDREGION
: このリクエストのリージョンNETWORK_POLICY_NAME
: このリクエストのネットワーク ポリシーRULE_NAME
: このルールの名前ACTION
: 実行するアクション(ACCESS
、DENY
など)
外部アクセスルールを削除する
Google Cloud コンソール、Google Cloud CLI、または VMware Engine API を使用して外部アクセスルールを削除するには、次のようにします。
コンソール
Google Cloud コンソールを使用して外部アクセス ファイアウォール ルールを編集するには、次の操作を行います。
Google Cloud コンソールで、[外部アクセスルール] ページに移動します。
行の末尾にある削除アイコン
をクリックし、[削除] を選択します。
gcloud
Google Cloud CLI を使用して外部アクセス ファイアウォール ルールを削除するには、gcloud vmware network-policies external-access-rules delete
コマンドを使用します。
gcloud vmware network-policies external-access-rules delete RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
以下を置き換えます。
RULE_NAME
: このルールの名前NETWORK_POLICY_NAME
: このリクエストのネットワーク ポリシーREGION
: このリクエストのリージョン
API
VMware Engine API を使用して外部アクセス ファイアウォール ルールを削除するには、DELETE
リクエストを行います。
DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"
以下を置き換えます。
PROJECT_ID
: このプロジェクトの IDREGION
: このリクエストのリージョンNETWORK_POLICY_NAME
: このリクエストのネットワーク ポリシーRULE_NAME
: このルールの名前
ファイアウォール ルールのプロパティ
ファイアウォール ルールには次のプロパティがあります。
- ルール名
- ファイアウォール ルールとその目的を一意に識別する名前。
- ネットワーク ポリシー
- ファイアウォール ルールを関連付けるネットワーク ポリシー。ファイアウォール ルールは、このネットワーク ポリシーを使用する VMware Engine ネットワークとの間で送受信されるトラフィックに適用されます。
- 説明
- このネットワーク ポリシーの説明。
- 優先度
- 100 から 4,096 までの数値(100 が最も高い優先度)。ルールは、優先度の高いものから順に処理されます。トラフィックがルールと一致すると、ルールの処理が停止します。優先度の高いルールと同じ属性を持つ優先度の低いルールは処理されなくなります。優先度は一意である必要はありません。
- 一致したときのアクション
- 一致したルールに基づいてファイアウォール ルールによってトラフィックを許可または拒否。
- プロトコル
- ファイアウォール ルールの対象となるインターネット プロトコル。
- 送信元 IP
- ファイアウォール ルールの照合対象となるトラフィック送信元 IP アドレス。値は、IP アドレスまたはクラスレス ドメイン間ルーティング(CIDR)ブロック(10.0.0.0/24 など)にすることができます。
- 送信元ポート
- ファイアウォール ルールの照合対象となるトラフィック送信元ポート。値は、個々のポートまたはポート範囲(443 または 8000-8080 など)です。
- 宛先 IP
- ファイアウォール ルールの照合対象となるトラフィックの宛先 IP アドレス。値は、IP アドレスまたは割り振られているすべての外部 IP アドレスです。
- 宛先ポート
- ファイアウォール ルールの照合対象となるトラフィックの宛先ポート。値は、個々のポートまたはポート範囲(443 または 8000-8080 など)です。範囲を指定すると、作成するセキュリティ ルールの数を削減できます。