外部アクセスルール

Google Cloud VMware Engine は、ファイアウォール ルールを使用して外部 IP アドレスへのアクセスを制御します。その他のアクセス制御はすべて、NSX-T Data Center のファイアウォール設定で管理します。詳しくは、Manager モードのファイアウォールをご覧ください。

準備

  • プライベート クラウドに適用されるネットワーク ポリシーで、インターネット アクセス サービスと外部 IP アドレス サービスを有効にします。
  • 外部 IP を割り当てます。

外部アクセスルールの作成

Google Cloud コンソール、Google Cloud CLI、または VMware Engine API を使用して外部アクセスルールを作成するには、次のようにします。

コンソール

Google Cloud コンソールを使用して外部アクセス ファイアウォール ルールを編集するには、次の操作を行います。

  1. Google Cloud コンソールで、[外部アクセスルール] ページに移動します。

    [外部アクセスルール] に移動

  2. [作成] をクリックします。

  3. 新しいファイアウォール ルールの詳細を入力します。詳細については、ファイアウォール ルールのプロパティをご覧ください。

  4. [作成] をクリックして、プロジェクト内のファイアウォール ルールのリストに新しいファイアウォール ルールを追加します。

gcloud

Google Cloud CLI で gcloud vmware network-policies create コマンドを入力して、外部アクセス ルールを作成します。

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

以下を置き換えます。

  • RULE_NAME: このルールの名前
  • REGION: このリクエストのリージョン
  • NETWORK_POLICY_NAME: このリクエストのネットワーク ポリシー
  • ACTION: 実行するアクション(ACCESSDENY など)

API

VMware Engine API を使用して外部アクセスのファイアウォール ルールを作成するには、POST リクエストを行います。

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

以下を置き換えます。

  • PROJECT_ID: このリクエストのプロジェクト
  • REGION: このリクエストのリージョン
  • NETWORK_POLICY_NAME: このリクエストのネットワーク ポリシー
  • RULE_NAME: このルールの名前
  • ACTION: 実行するアクション(ACCESSDENY など)

外部アクセスルールを一覧表示する

Google Cloud コンソール、Google Cloud CLI、または VMware Engine API を使用して外部アクセスルールを一覧表示するには、次のようにします。

コンソール

Google Cloud コンソールを使用して外部アクセスルールを一覧表示するには、次のようにします。

  1. Google Cloud コンソールで、[外部アクセスルール] ページに移動します。

    [外部アクセスルール] に移動

  2. [概要] ページには、すべての外部アクセスルールが記載された表が示されます。属性の変更については、こちらの概要ページをご覧ください。

gcloud

Google Cloud CLI を使用して外部アクセスルールを一覧表示するには、gcloud vmware network-policies external-access-rules list コマンドを使用します。

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

以下を置き換えます。

  • NETWORK_POLICY_NAME: このリクエストのネットワーク ポリシー
  • REGION: このリクエストのリージョン。

API

VMware Engine API を使用して外部アクセスのファイアウォール ルールを一覧表示するには、GET リクエストを行います。

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

以下を置き換えます。

  • PROJECT_ID: このプロジェクトの ID
  • REGION: このリクエストのリージョン
  • NETWORK_POLICY_NAME: このリクエストのネットワーク ポリシー

外部アクセスルールを編集する

Google Cloud コンソール、Google Cloud CLI、または VMware Engine API を使用して外部アクセスルールを編集するには、次のようにします。

コンソール

Google Cloud コンソールを使用して外部アクセスルールを編集するには、次の手順を行います。

  1. Google Cloud コンソールで、[外部アクセスルール] ページに移動します。

    [外部アクセスルール] に移動

  2. 行の末尾にあるその他アイコン をクリックし、[編集] を選択します。

gcloud

Google Cloud CLI を使用して外部アクセスルールを編集するには、gcloud vmware network-policies update コマンドを使用します。

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

以下を置き換えます。

  • RULE_NAME: このルールの名前
  • NETWORK_POLICY_NAME: このリクエストのネットワーク ポリシー
  • REGION: このリクエストのリージョン

API

VMware Engine API を使用して外部アクセス ルールを編集するには、PATCH リクエストを行います。

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

以下を置き換えます。

  • PROJECT_ID: このプロジェクトの ID
  • REGION: このリクエストのリージョン
  • NETWORK_POLICY_NAME: このリクエストのネットワーク ポリシー
  • RULE_NAME: このルールの名前
  • ACTION: 実行するアクション(ACCESSDENY など)

外部アクセスルールを削除する

Google Cloud コンソール、Google Cloud CLI、または VMware Engine API を使用して外部アクセスルールを削除するには、次のようにします。

コンソール

Google Cloud コンソールを使用して外部アクセス ファイアウォール ルールを編集するには、次の操作を行います。

  1. Google Cloud コンソールで、[外部アクセスルール] ページに移動します。

    [外部アクセスルール] に移動

  2. 行の末尾にある削除アイコン をクリックし、[削除] を選択します。

gcloud

Google Cloud CLI を使用して外部アクセス ファイアウォール ルールを削除するには、gcloud vmware network-policies external-access-rules delete コマンドを使用します。

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

以下を置き換えます。

  • RULE_NAME: このルールの名前
  • NETWORK_POLICY_NAME: このリクエストのネットワーク ポリシー
  • REGION: このリクエストのリージョン

API

VMware Engine API を使用して外部アクセス ファイアウォール ルールを削除するには、DELETE リクエストを行います。

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

以下を置き換えます。

  • PROJECT_ID: このプロジェクトの ID
  • REGION: このリクエストのリージョン
  • NETWORK_POLICY_NAME: このリクエストのネットワーク ポリシー
  • RULE_NAME: このルールの名前

ファイアウォール ルールのプロパティ

ファイアウォール ルールには次のプロパティがあります。

ルール名
ファイアウォール ルールとその目的を一意に識別する名前。
ネットワーク ポリシー
ファイアウォール ルールを関連付けるネットワーク ポリシー。ファイアウォール ルールは、このネットワーク ポリシーを使用する VMware Engine ネットワークとの間で送受信されるトラフィックに適用されます。
説明
このネットワーク ポリシーの説明。
優先度
100 から 4,096 までの数値(100 が最も高い優先度)。ルールは、優先度の高いものから順に処理されます。トラフィックがルールと一致すると、ルールの処理が停止します。優先度の高いルールと同じ属性を持つ優先度の低いルールは処理されなくなります。優先度は一意である必要はありません。
一致したときのアクション
一致したルールに基づいてファイアウォール ルールによってトラフィックを許可または拒否。
プロトコル
ファイアウォール ルールの対象となるインターネット プロトコル。
送信元 IP
ファイアウォール ルールの照合対象となるトラフィック送信元 IP アドレス。値は、IP アドレスまたはクラスレス ドメイン間ルーティング(CIDR)ブロック(10.0.0.0/24 など)にすることができます。
送信元ポート
ファイアウォール ルールの照合対象となるトラフィック送信元ポート。値は、個々のポートまたはポート範囲(443 または 8000-8080 など)です。
宛先 IP
ファイアウォール ルールの照合対象となるトラフィックの宛先 IP アドレス。値は、IP アドレスまたは割り振られているすべての外部 IP アドレスです。
宛先ポート
ファイアウォール ルールの照合対象となるトラフィックの宛先ポート。値は、個々のポートまたはポート範囲(443 または 8000-8080 など)です。範囲を指定すると、作成するセキュリティ ルールの数を削減できます。

次のステップ