今回はGoogle Cloud Platform(以下GCP)のファイアウォール設定について紹介します。
Google Cloud Platform内で利用する各サービスはVPCネットワークという仮想ネットワーク上に構築されます。Google Compute Engine(以下GCE)で立ち上げたVMインスタンスもVPCという仮想ネットワーク上で動作しており、VMインスタンスに対するアクセス制御はVPCネットワークのファイアウォールの設定をする必要があります。
今回はVMインスタンスのポート8080を開ける想定で記載します。
ファイアウォールルールを設定する
まず初めにコンソールのメニューの「VPCネットワーク」から「ファイアウォールルール」を選択します。
ファイアウォールルールの一覧が表示されます。デフォルトの状態だと、default-allow-XXXXという名前のいくつかのファイアウォールルールのリストが表示されています。この画面の上部にある「ファイアウォールルールを作成」をクリックします。以下の画面が表示されるので各項目を設定していきます。
| 名前 | 任意の名前を入力します。 default-allow-8080 |
| 説明 | 何のためのファイアウォールか説明を書きます。任意項目なので書かなくても大丈夫ですがわからなくならないように何かしらコメントしておくとよいでしょう。 |
| ログ | ログの取得有無を選択します。デフォルトはオフになっています。 取得したい場合はオンにすればログが取得できるようになりますが、StackDriverのコストがかかるようになるようです。今回はオフを選択します。 |
| ネットワーク | ファイアウォールルールを適用するVPCネットワークを指定します。 デフォルトは「default」です。今回はデフォルトのままにします。 |
| 優先度 | 他のファイアウォールルールがあった場合の優先度順を記載します。デフォルトは「1000」です。今回はデフォルトのままにします。 |
| トラフィックの方向 | 上りor下りを選択します。 今回は上りを選択します。 |
| 一致した時のアクション | 許可or拒否を選択します。 今回は許可を選択します。 |
| ターゲット | 「ネットワーク上のすべてのインスタンス」、「指定されたターゲットタグ」、「指定されたサービスアカウント」から選択します。 今回はVMインスタンスごとにファイアウォールルールを適用できるよう「指定されたターゲットタグ」を選択します。 |
| ターゲットタグ | 任意のターゲットタグ名称を記載します。このタグを用いて後からVMインスタンスとの紐付けを行います。 今回は「use-8080」とします。 |
| ソースフィルタ | 「IP範囲」、「ソースタグ」から選択します。今回はIP範囲を選択します。 |
| ソースIPの範囲 | ソースフィルタで「IP範囲」を選択した時のみ表示される項目です。ソースとなるIPアドレスを記載します。今回はすべてのIPから許可をするため「0.0.0.0/0」を設定します。 |
| プロトコルとポート | tcpを選択し、8080を入力します。 |
入力したら、画面の下部にある青い「作成」ボタンをクリックします。これでファイアウォールルールの作成は完了です。
VMインスタンスにファイアウォール設定を加える
次に該当するVMインスタンスにファイアウォールルールを適用します。コンソールのメニューの「Compute Engine」から「VMインスタンス」を選択します。
表示されたVMインスタンスの一覧からファイアウォールルールを適用させたいインスタンスの名称をクリックし、詳細表示画面に移動します。
画面上部にある編集ボタンを押下し、編集画面が現れたら、ネットワークタグの項目に先ほどのファイアウォールルール作成時に設定したターゲットタグで設定したタグ名を入力します。
設定を保存すれば完了です。
今回はGCEでのポート開放、ファイアウォールの設定でした。ファイアウォールルールの設定からインスタンスへの適用まで非常に簡単ですし、とても管理しやすいと思います。
コメント