ファイアウォール ルールの構成

Google Cloud Platform ネットワークをオンプレミス ネットワークに接続するように Cloud VPN トンネルを構成するときに、両方のネットワークのファイアウォール ルールを確認し、ニーズに合わせてルールを変更する必要があります。このページでは、GCP ファイアウォール ルールとオンプレミス ネットワーク ファイアウォール ルールの構成方法について説明します。

Cloud VPN トンネルで動的(BGP)ルーティングを使用する場合は、BGP トラフィックを許可して、ルート情報を交換できるようにしてください。

GCP ルール

暗黙の下り許可ルールは、GCP ネットワーク内のインスタンスや他のリソースが発信リクエストを行って確立されたレスポンスを受信することを許可しますが、暗黙の上り拒否ルールは GCP リソースへの着信トラフィックをすべてブロックします。

少なくとも、オンプレミス ネットワークから GCP への上りトラフィックを許可するファイアウォール ルールを作成する必要があります。特定の種類のトラフィックを拒否する別の下りルールを作成している場合は、下りルールも作成する必要があります。

ファイアウォール ルールが GCP でどのように機能するかについてよくわからない場合は、最初にファイアウォール ルールの概要をご覧ください。

必要な権限

プロジェクトのオーナー、編集者、そしてセキュリティ管理者の役割を持つ IAM メンバーが GCP ファイアウォール ルールを作成して管理できます。

構成の例

次の例では、オンプレミス ネットワークから GCP ネットワークに着信するすべての TCP、UDP、ICMP トラフィックを許可するファイアウォール ルールを作成します。

Console

  1. Google Cloud Platform Console で [VPN トンネル] ページに移動します。
    [VPN トンネル] ページに移動
  2. 使用する VPN トンネルをクリックします。
  3. VPN ゲートウェイ セクションで、VPC ネットワークの名前をクリックします。これにより、トンネルを含む VPC ネットワークの詳細ページが表示されます。
  4. [ファイアウォール ルール] タブを選択します。
  5. [ファイアウォール ルールを追加] をクリックします。TCP、UDP、ICMP のルールを追加します。
    • [名前]: allow-tcp-udp-icmp
    • [ソースフィルタ]: IP 範囲。
    • [ソース IP 範囲]: トンネルの作成時に指定した [リモート ネットワーク IP の範囲] の値。複数のオンプレミス ネットワーク範囲がある場合は、それぞれを入力します。入力するたびに、Tab キーを押してください。
    • [許可対象プロトコル / ポート]: tcp; udp; icmp
    • [ターゲットタグ]: 有効な任意のタグ。
  6. [作成] をクリックします。
  7. 必要に応じて他のファイアウォール ルールを作成します。

GCP Console の [ファイアウォール ルール] ページからルールを作成することもできます。

  1. [ファイアウォール ルール] ページに移動します。
  2. [ファイアウォール ルールを作成] をクリックします。
  3. 次のフィールドに入力します。
    • [名前]: vpnrule1
    • [VPC ネットワーク]: my-network
    • [ソースフィルタ]: IP ranges
    • [ソース IP 範囲]: オンプレミス VPN ゲートウェイから受け入れるオンプレミスの範囲。
    • [許可対象プロトコル / ポート]: tcp;udp;icmp
  4. [作成] をクリックします。

gcloud

    gcloud  compute --project [PROJECT_ID] firewall-rules create vpnrule1 
--network [NETWORK]
--allow tcp,udp,icmp
--source-ranges [PEER_SOURCE_RANGE]

オンプレミス ネットワーク範囲が複数ある場合は、source-ranges フィールドにカンマ区切りのリストを指定します(--source-ranges 10.10.4.0/24,10.10.6.0/24)。

firewall-rules コマンドの詳細については、gcloud ファイアウォール ルールのドキュメントをご覧ください。

オンプレミス ルール

オンプレミスのファイアウォール ルールを構成するときは、次の点を考慮してください。

  • GCP ネットワークのサブネットによって使用される IP 範囲間で送受信される、下りトラフィックと上りトラフィックを許可するルールを構成する必要があります。
  • すべてのプロトコルとポートを許可するか、またはニーズに合う必要なプロトコルとポートのみにトラフィックを制限できます。
  • ping を使用して、オンプレミス システムと GCP 内のインスタンスまたはリソース間で通信する必要がある場合は、ICMP トラフィックを許可する必要があります。
  • オンプレミスのファイアウォール ルールは、ネットワーク デバイス(セキュリティ アプライアンス、ファイアウォール デバイス、スイッチ、ルーター、ゲートウェイなど)とシステムで実行されているソフトウェア(オペレーティング システムに組み込まれているファイアウォール ソフトウェアなど)の両方で実装できます。GCP までの経路上にあるすべてのファイアウォールは、トラフィックを許可するように適切に構成する必要があります。
  • VPN トンネルで動的(BGP)ルーティングを使用する場合は、リンクローカル IP アドレスに対して BGP トラフィックを許可していることを確認してください。詳細については、次のセクションをご覧ください。

動的ルーティングに関する考慮事項

動的(BGP)ルーティングは TCP ポート 179 を使用してルート情報を交換します。一部の VPN ゲートウェイでは、動的ルーティングを選択すると、このトラフィックが自動的に許可されます。ゲートウェイが許可しない場合は、TCP 179 の送受信トラフィックを許可するようにゲートウェイを構成する必要があります。すべての BGP IP アドレスはリンクローカル 169.254.0.0/16 CIDR ブロックを使用します。

オンプレミス VPN ゲートウェイがインターネットに直接接続されていない場合は、少なくとも BGP トラフィック(TCP ポート 179)と ICMP トラフィックを VPN ゲートウェイに渡すように、オンプレミス VPN ゲートウェイ、オンプレミス ルーター、ファイアウォール、セキュリティ アプライアンスを構成してください。ICMP は必須ではありませんが、Cloud Router と VPN ゲートウェイの間の接続をテストするのに便利です。オンプレミス ファイアウォール ルールを適用する IP アドレスの範囲には、Cloud Router の BGP IP アドレスとゲートウェイの BGP IP アドレスが含まれている必要があります。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...