階層型ファイアウォール ポリシーとルールを使用する
このページは、階層型ファイアウォール ポリシーで説明されているコンセプトを理解していることを前提としています。階層型ファイアウォール ポリシーの実装例については、階層型ファイアウォール ポリシーの例をご覧ください。
制限事項
- 階層型ファイアウォール ポリシーのルールでは、上り(内向き)ルールのソースを定義するのに、IP 範囲のみが使用できます。ソースタグとソースサービス アカウントは、VPC ファイアウォール ルールでのみサポートされます。
- 階層型ファイアウォール ポリシーのルールでは、ターゲットの定義にネットワーク タグを使用することはサポートされていません。代わりに、ターゲット VPC ネットワークまたはターゲット サービス アカウントを使用する必要があります。
- ファイアウォール ポリシーは、フォルダレベルと組織レベルで適用されますが、VPC ネットワーク レベルでは適用されません。通常の VPC ファイアウォール ルールは VPC ネットワークでサポートされています。
- ノード(フォルダまたは組織)に関連付けることができるファイアウォール ポリシーは 1 つだけですが、フォルダの下の仮想マシン(VM)インスタンスは VM を越えてノードの階層全体からルールを継承できます。
- ファイアウォール ルールのロギングは、
allowルールとdenyルールではサポートされますが、goto_nextルールではサポートされません。 - IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。
ファイアウォール ポリシーのタスク
ファイアウォール ポリシーを作成する
ポリシーは、組織階層の任意のノード、組織、フォルダに作成できます。ポリシーを作成したら、組織内の任意のノードに関連付けることができます。関連付けが終わると、階層内の関連するノードにある VM に対してポリシーのルールがアクティブになります。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID または組織内のフォルダを選択します。
[ファイアウォール ポリシーを作成] をクリックします。
ポリシーに名前を付けます。
ポリシーのルールを作成する場合は、[続行] をクリックしてから、[ルールを追加] をクリックします。
詳しくは、ファイアウォール ルールを作成するをご覧ください。
ポリシーをノードに関連付けるには、[続行] をクリックしてから [関連付け] をクリックします。
詳細については、ポリシーを組織またはフォルダに関連付けるをご覧ください。
[作成] をクリックします。
gcloud
gcloud compute firewall-policies create \
[--organization ORG_ID] | --folder FOLDER_ID] \
--short-name SHORT_NAME
次のように置き換えます。
ORG_ID: 組織の ID
組織レベルでポリシーを作成する場合、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーが組織ノードに自動的に関連付けられることはありません。FOLDER_ID: フォルダの ID
特定のフォルダにポリシーを作成する場合は、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーがそのフォルダに自動的に関連付けられることはありません。SHORT_NAME: ポリシーの名前
Google Cloud CLI で作成したポリシーには 2 つの名前があります。1 つはシステム生成名、もう 1 つはユーザーが指定した略称です。Google Cloud CLI を使用して既存のポリシーを更新する場合は、システム生成の名前を使用するか、略称と組織 ID を指定します。API を使用してポリシーを更新する場合は、システムが生成した名前を指定する必要があります。
ファイアウォール ルールを作成する
階層型ファイアウォール ポリシーのルールは、階層型ファイアウォール ポリシーに作成される必要があります。含まれるポリシーをノードに関連付けるまで、ルールは有効になりません。
各階層型ファイアウォール ポリシールールには、IPv4 または IPv6 の範囲のいずれかを含めることができます。両方を含めることはできません。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーの名前をクリックします。
[ルールを追加] をクリックします。
ルール フィールドに、次の内容を入力します。
- 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100、200、300など)。 - ログの収集を [オン] または [オフ] に設定します。
- [トラフィックの方向] で、このルールが [上り(内向き)] ルールか [下り(外向き)] ルールかを指定します。
- [一致したときのアクション] で、ルールに一致した接続を許可する(許可)または拒否する(拒否)かどうか、または接続の評価を、階層内で次に低いファイアウォール ルールに渡すかどうかを指定します(次に移動)。
- (省略可)[Target network] フィールドにネットワークを指定し、特定のネットワークにルールを限定できます。
- (省略可)[ターゲット サービス アカウント] フィールドにアカウントを指定することで、特定のサービス アカウントに対するアクセス権で実行されている VM にルールを制限できます。
- 上り(内向き)ルールを作成する場合は、このルールが適用されるソース IP 範囲を指定します。下り(外向き)ルールを作成する場合は、このルールを適用する宛先 IP 範囲を指定します。どちらの場合も、すべての IPv4 アドレスに
0.0.0.0/0を指定し、すべての IPv6 アドレスに::/0を指定します。1 つのルールに、IPv4 または IPv6 のアドレス範囲のいずれかを含めることができます。両方を含めることはできません。 - (省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の FQDN を指定します。下り(外向き)ルールを作成する場合は、このルールを適用する宛先の FQDN を選択します。ドメイン名オブジェクトの詳細については、ドメイン名オブジェクトをご覧ください。
- (省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の位置情報を選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の位置情報を選択します。位置情報オブジェクトの詳細については、位置情報オブジェクトをご覧ください。
- 省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元のネットワーク脅威インテリジェンスのリストを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先のネットワーク脅威インテリジェンスのリストを選択します。脅威インテリジェンスの詳細については、ファイアウォール ポリシールールの脅威インテリジェンスをご覧ください。
[プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。
IPv4 ICMP を指定するには、
icmpまたはプロトコル番号1を使用します。IPv6 ICMP を指定するには、プロトコル番号58を使用します。プロトコルの詳細については、プロトコルとポートをご覧ください。[作成] をクリックします。
- 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
[ルールを追加] をクリックして別のルールを追加します。[続行] > [関連付け] をクリックしてポリシーをノードに関連付けるか、[作成] をクリックしてポリシーを作成します。
gcloud
gcloud compute firewall-policies rules create PRIORITY \
[--organization ORG_ID] \
--firewall-policy POLICY_NAME \
[--direction DIRECTION] \
[--src-ip-ranges IP_RANGES] \
[--dest-ip-ranges IP_RANGES ] \
[--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
[--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
[--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
[--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
[--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
[--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
--action ACTION \
[--layer4-configs PROTOCOL_PORT] \
[--target-resources NETWORKS] \
[--target-service-accounts SERVICE_ACCOUNTS] \
[--enable-logging | --no-enable-logging] \
[--disabled]
次のように置き換えます。
PRIORITY: ルールの数値評価順序ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100、200、300など)。ORG_ID: 組織の IDPOLICY_NAME: ポリシーの略称またはシステムによって生成された名前DIRECTION: ルールがingressルールまたはegressルールのどちらであるかを示します。デフォルトはingressです。- トラフィックの送信元の IP 範囲を指定するには、
--src-ip-rangesを含めます。 - トラフィックの宛先の IP 範囲を指定するには、
--dest-ip-rangesを含めます。
- トラフィックの送信元の IP 範囲を指定するには、
IP_RANGES: CIDR 形式の IP 範囲のカンマ区切りリスト(すべての IPv4 範囲またはすべての IPv6 範囲)。例:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96COUNTRY_CODE: 2 文字の国コードのカンマ区切りリスト- 上り(内向き)方向の場合は
--src-region-codeパラメータで送信元の国コードを指定します。下り(外向き)方向の場合、--src-region-codeパラメータは使用できません。 - 下り(外向き)方向の場合は
--dest-region-codeパラメータで宛先の国コードを指定します。上り(内向き)方向の場合、--dest-region-codeパラメータは使用できません。
- 上り(内向き)方向の場合は
LIST_NAMES: 脅威インテリジェンス リストの名前のカンマ区切りのリスト- 上り(内向き)方向の場合は
--src-threat-intelligenceパラメータで送信元の脅威インテリジェンス リストを指定します。下り(外向き)方向の場合、--src-threat-intelligenceパラメータは使用できません。 - 下り(外向き)方向の場合、
--dest-threat-intelligenceパラメータで宛先の脅威インテリジェンス リストを指定します。上り(内向き)方向の場合、--dest-threat-intelligenceパラメータは使用できません。
- 上り(内向き)方向の場合は
ADDR_GRP_URL: アドレス グループの一意の URL 識別子- 上り(内向き)方向の場合は
--src-address-groupsパラメータで送信元のアドレス グループを指定します。下り(外向き)方向の場合、--src-address-groupsパラメータは使用できません。 - 下り(外向き)方向の場合は
--dest-address-groupsパラメータで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-address-groupsパラメータは使用できません。
- 上り(内向き)方向の場合は
DOMAIN_NAME: ドメイン名のカンマ区切りリスト。ドメイン名の形式で説明されている形式で指定します。- 上り(内向き)方向の場合は
--src-fqdnsパラメータで送信元のドメイン名を指定します。下り(外向き)方向の場合、--src-fqdnsパラメータは使用できません。 - 下り(外向き)方向の場合は
--dest-fqdnsパラメータで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-fqdnsパラメータは使用できません。
- 上り(内向き)方向の場合は
ACTION: 次のいずれかのアクション:allow: ルールに一致する接続を許可します。deny: ルールに一致する接続を拒否します。goto_next: 接続評価を階層内の次のレベル(フォルダまたはネットワーク)に渡します。
PROTOCOL_PORT: プロトコル名または番号(tcp,17)、プロトコルと宛先ポート(tcp:80)、プロトコルと宛先ポートの範囲(tcp:5000-6000)のカンマ区切りリスト。プロトコルなしでは、ポートまたはポート範囲を指定することはできません。ICMP の場合、ポートまたはポート範囲を指定できません。例:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmpIPv4 ICMP を指定するには、
icmpまたはプロトコル番号1を使用します。IPv6 ICMP を指定するには、プロトコル番号58を使用します。詳細については、プロトコルとポートをご覧ください。NETWORKS: このルールが適用されるネットワークのカンマ区切りのリスト。省略した場合は、ルールはノードの下のすべてのネットワークに適用されます。詳細については、階層型ファイアウォール ポリシー ルールのターゲットをご覧ください。
SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りのリスト。ルールは、指定したサービス アカウントに対するアクセス権で実行されている VM にのみ適用されます。詳細については、階層型ファイアウォール ポリシー ルールのターゲットをご覧ください。
--enable-logging、--no-enable-logging: 指定されたルールに対してファイアウォール ルールロギングを有効または無効にします。--disabled: ファイアウォール ルールが存在しても、接続の処理時に考慮されないファイアウォール ルールを示します。このフラグを省略すると、ルールが有効になります。または、--no-disabledを指定します。
ポリシーを組織またはフォルダに関連付ける
ポリシーをノードに関連付けると、階層内のノードの下にある VM のポリシールールをアクティブ化できます。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け先] タブをクリックします。
[関連付け] をクリックします。
組織のルートを選択するか、組織内のフォルダを選択します。
[関連付け] をクリックします。
gcloud
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
次のように置き換えます。
POLICY_NAME: ポリシーの略称またはシステムによって生成された名前ORG_ID: 組織の IDFOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織レベルに関連付ける場合は省略します。ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前は「organizationORG_ID」または「folderFOLDER_ID」に設定されます。--replace-association-on-target
デフォルトでは、すでに関連付けがある組織ノードまたはフォルダノードに関連付けを挿入しようとすると、そのメソッドは失敗します。このフラグを指定すると、新しい関連付けが作成されると同時に既存の関連付けが削除されます。これにより、移行時にポリシーのないノードが設定されることがなくなります。
ノード間でポリシーを移動する
ポリシーを移動すると、ポリシーを所有するノードが変更されます。ポリシーを移動するには、古いノードと新しいノードの両方に move 権限が必要です。
ポリシーを移動しても、既存のポリシーの関連付けや既存のルールの評価には影響しませんが、移動後にポリシーを変更または関連付けを行う権限を持つ人に影響する可能性があります。
コンソール
この手順では Google Cloud CLI を使用します。
gcloud
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID \
[--folder FOLDER_ID]
次のように置き換えます。
POLICY_NAME: 移動するポリシーの略称またはシステムによって生成された名前ORG_ID: 組織の ID。ポリシーを組織ノードに移動する場合は、この ID を指定しますが、フォルダは指定しません。FOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織ノードに関連付ける場合は省略します。
ポリシーの説明を更新する
更新できるポリシー フィールドは [説明] フィールドのみです。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
[編集] をクリックします。
[説明] を変更します。
[保存] をクリックします。
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
ポリシーを一覧表示する
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
[このノードに関連付けられた、またはこのノードによって継承されたファイアウォール ポリシー] セクションに、リソース階層内のこのノードに関連付けられているポリシーが表示されます。
[このノードにあるファイアウォール ポリシー] セクションには、リソース階層でこのノードによって所有されているポリシーが一覧表示されます。このようなポリシーは、このノードに関連付けられていない可能性がありますが、このノードや他のノードに関連付けることができます。
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
ポリシーの説明を取得する
すべてのファイアウォール ルールを含む、ポリシーのすべての詳細を表示できます。また、ポリシー内のすべてのルールにある属性も確認できます。この属性は、ポリシーごとの上限としてカウントされます。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
ポリシーを削除する
削除する前に、組織のファイアウォール ポリシーのすべての関連付けを削除する必要があります。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
削除するポリシーをクリックします。
[関連付け先] タブをクリックします。
すべての関連付けを選択します。
[削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ファイアウォール ポリシーに関連するすべてのノードを一覧表示します。
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID個々の関連付けを削除します。関連付けを削除するには、関連するノードまたはそのノードの祖先に対する
compute.orgSecurityResourceAdminのロールが必要です。gcloud compute firewall-policies associations delete NODE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAMEポリシーを削除します。
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
ノードの関連付けを一覧表示する
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
関連付けられているポリシーと継承されているポリシーは、[このノードに関連付けられた、またはこのノードによって継承されたファイアウォール ポリシー] に表示されます。
gcloud
gcloud compute firewall-policies associations list \ [--organization ORG_ID | --folder FOLDER_ID]
ポリシーの関連付けを一覧表示する
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
ポリシーの関連付けが一覧で表示されます。
gcloud
gcloud compute firewall-policies describe POLICY_ID
関連付けを削除する
組織またはフォルダに対するファイアウォール ポリシーの適用を停止するには、関連付けを削除します。
ただし、あるセキュリティ ポリシーを別のファイアウォール ポリシーに入れ替える場合は、最初に既存の関連付けを削除する必要はありません。この操作を行うと、どちらのポリシーも適用されない期間が残ります。代わりに、新しいポリシーを関連付ける際は、既存のポリシーを置き換えます。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
削除する関連付けを選択します。
[削除] をクリックします。
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
ファイアウォール ポリシー ルールのタスク
既存のファイアウォール ポリシーにルールを作成する
ファイアウォール ルールを作成するをご覧ください。
ポリシー内のすべてのルールを一覧表示する
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。ルールが [ファイアウォール ルール] タブに表示されます。
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization ORG_ID
ルールの説明を取得する
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
次のように置き換えます。
PRIORITY: 表示するルールの優先度。各ルールの優先度は異なるため、この設定はルールによって一意に識別されますORG_ID: 組織の IDPOLICY_NAME: ルールが含まれるポリシーの略称またはシステム生成名
ルールを更新する
フィールドの説明については、ファイアウォール ルールの作成をご覧ください。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
[編集] をクリックします。
変更対象のフィールドに修正を加えます。
[保存] をクリックします。
gcloud
gcloud compute firewall-policies rules update RULE_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[...fields you want to modify...]
ポリシー間でルールのクローンを作成する
ターゲット ポリシーからすべてのルールを削除し、ソースポリシーのルールで置き換えます。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ルールのコピー元ポリシーをクリックします。
画面の上部の [クローン] をクリックします。
ターゲット ポリシーの名前を指定します。
新しいポリシーをすぐに関連付ける場合は、[続行] > [関連付け] をクリックします。
[クローン] をクリックします。
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--organization ORG_ID \
--source-firewall-policy SOURCE_POLICY
次のように置き換えます。
POLICY_NAME: コピーされたルールを受け取るポリシーORG_ID: 組織の IDSOURCE_POLICY: ルールのコピー元のポリシー。リソースの URL で指定する必要があります。
ポリシーからルールを削除する
ポリシーからルールを削除すると、そのルールを継承しているすべての VM からルールが削除されます。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
削除するルールを選択します。
[削除] をクリックします。
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
次のように置き換えます。
PRIORITY: ポリシーから削除するルールの優先度ORG_ID: 組織の IDPOLICY_NAME: そのルールを含むポリシー
ネットワークで有効なファイアウォール ルールを取得する
指定した VPC ネットワークに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示します。
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
ファイアウォール ポリシー ルールを表示するネットワークをクリックします。
[ファイアウォール ポリシー] をクリックします。
ファイアウォール ポリシーを開いて、このネットワークに適用されるルールを表示します。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
次のように置き換えます。
NETWORK_NAME: 有効なルールを取得する対象のネットワーク
また、ネットワークの有効なファイアウォール ルールは [ファイアウォール] ページでも確認できます。
コンソール
Google Cloud コンソールで [ファイアウォール] ページに移動します。
ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。
ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。
VM インターフェースで有効なファイアウォール ルールを取得する
指定した Compute Engine VM インターフェースに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示します。
コンソール
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、VM を含むプロジェクトを選択します。
VM をクリックします。
[ネットワーク インターフェース] でインターフェースをクリックします。
[ファイアウォールとルートの詳細] に有効なファイアウォール ルールが表示されます。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
次のように置き換えます。
INSTANCE_NAME: 有効なルールを取得する対象の VM。インターフェースが指定されていない場合、プライマリ インターフェース(nic0)のルールが返されます。INTERFACE: 有効なルールを取得する対象の VM インターフェース。デフォルトはnic0です。ZONE: VM のゾーン。対象のゾーンがすでにデフォルトとして設定されている場合は省略可能です。
トラブルシューティング
このセクションでは、表示される可能性があるエラー メッセージについて説明します。
FirewallPolicy で名前を指定することはできません。ポリシー名は用意されます。
ポリシー名を指定できません。階層型ファイアウォール ポリシーの名前は、ポリシーの作成時に Google Cloud によって生成される数値 ID です。ただし、わかりやすい略称を指定することもできます。これは、多くのコンテキストでエイリアスとして機能します。
FirewallPolicy の作成時に関連付けを指定できない場合があります。
関連付けは、階層のファイアウォール ポリシーの作成後にのみ作成できます。
ファイアウォール ポリシーを別の組織に移動できません。
階層型ファイアウォール ポリシーの移動は、同じ組織内で行われる必要があります。
接続にはすでに関連付けがあります。古い関連付けを置き換える場合は、既存の関連付けを true に切り替えるオプションを設定してください。
ノードがすでに階層型ファイアウォール ポリシーに接続されている場合、既存の関連付けを置き換えるオプションが true に設定されていない限り、接続のオペレーションは失敗します。
同じ優先度のルールを指定することはできません。
ルールの優先度は、階層型ファイアウォール ポリシー内で一意にする必要があります。
ファイアウォール ポリシー ルールで方向を指定する必要があります。
REST リクエストを直接送信して階層型ファイアウォール ポリシー ルールを作成する場合は、ルールの方向を指定する必要があります。Google Cloud CLI を使用している場合、方向が指定されていないと、デフォルトで INGRESS が使用されます。
goto_next ルールで enable_logging を指定することはできません。
goto_next アクションのルールでは、ファイアウォールのロギングは許可されません。goto_next アクションがファイアウォール ポリシーの評価順序を表すために使用され、「許可」や「拒否」などのターミナル アクションではないためです。
ファイアウォール ポリシールールで IP プロトコルを指定する必要があります。
ファイアウォール ポリシー ルール内の DestinationPort の構成では、TCP、UDP、ICMP などのプロトコルのフィールドを設定する必要があります。
下り(外向き)方向の src 範囲を指定しないでください。
下り(外向き)ルールに含めることができるのは宛先 IP 範囲のみです。
下り(外向き)方向の dest 範囲を指定する必要があります。
下り(外向き)ルールでは、ルールの宛先 IP 範囲を指定する必要があります。
上り(内向き)方向の dest 範囲を指定しないでください。
上り(内向き)ルールに含めることができるのは、ソース IP の範囲のみです。
上り(内向き)方向の src 範囲を指定する必要があります。
上り(内向き)ルールでは、ソース IP 範囲を指定する必要があります。ソースタグとソース サービス アカウントは、階層型ファイアウォール ポリシーではサポートされていません。
ファイアウォール ポリシー ルールのトラブルシューティングの詳細については、VPC ファイアウォール ルールのトラブルシューティングをご覧ください。
次のステップ
- VPC ファイアウォール ルールで VPC ファイアウォール ルールを理解する。
- 階層型ファイアウォール ポリシーの例で、階層型ファイアウォール ポリシーの実装例を確認する。