Google Cloud Platformのファイアウォール設定方法

IT

今回はGoogle Cloud Platform(以下GCP)のファイアウォール設定について紹介します。

Google Cloud Platform内で利用する各サービスはVPCネットワークという仮想ネットワーク上に構築されます。Google Compute Engine(以下GCE)で立ち上げたVMインスタンスもVPCという仮想ネットワーク上で動作しており、VMインスタンスに対するアクセス制御はVPCネットワークのファイアウォールの設定をする必要があります。

今回はVMインスタンスのポート8080を開ける想定で記載します。

ファイアウォールルールを設定する

まず初めにコンソールのメニューの「VPCネットワーク」から「ファイアウォールルール」を選択します。

ファイアウォールルールの一覧が表示されます。デフォルトの状態だと、default-allow-XXXXという名前のいくつかのファイアウォールルールのリストが表示されています。この画面の上部にある「ファイアウォールルールを作成」をクリックします。以下の画面が表示されるので各項目を設定していきます。

名前任意の名前を入力します。
default-allow-8080
説明何のためのファイアウォールか説明を書きます。任意項目なので書かなくても大丈夫ですがわからなくならないように何かしらコメントしておくとよいでしょう。
ログログの取得有無を選択します。デフォルトはオフになっています。
取得したい場合はオンにすればログが取得できるようになりますが、StackDriverのコストがかかるようになるようです。今回はオフを選択します。
ネットワークファイアウォールルールを適用するVPCネットワークを指定します。
デフォルトは「default」です。今回はデフォルトのままにします。
優先度他のファイアウォールルールがあった場合の優先度順を記載します。デフォルトは「1000」です。今回はデフォルトのままにします。
トラフィックの方向上りor下りを選択します。
今回は上りを選択します。
一致した時のアクション許可or拒否を選択します。
今回は許可を選択します。
ターゲット「ネットワーク上のすべてのインスタンス」、「指定されたターゲットタグ」、「指定されたサービスアカウント」から選択します。
今回はVMインスタンスごとにファイアウォールルールを適用できるよう「指定されたターゲットタグ」を選択します。
ターゲットタグ任意のターゲットタグ名称を記載します。このタグを用いて後からVMインスタンスとの紐付けを行います。
今回は「use-8080」とします。
ソースフィルタ「IP範囲」、「ソースタグ」から選択します。今回はIP範囲を選択します。
ソースIPの範囲ソースフィルタで「IP範囲」を選択した時のみ表示される項目です。ソースとなるIPアドレスを記載します。今回はすべてのIPから許可をするため「0.0.0.0/0」を設定します。
プロトコルとポートtcpを選択し、8080を入力します。

入力したら、画面の下部にある青い「作成」ボタンをクリックします。これでファイアウォールルールの作成は完了です。

VMインスタンスにファイアウォール設定を加える

次に該当するVMインスタンスにファイアウォールルールを適用します。コンソールのメニューの「Compute Engine」から「VMインスタンス」を選択します。

表示されたVMインスタンスの一覧からファイアウォールルールを適用させたいインスタンスの名称をクリックし、詳細表示画面に移動します。
画面上部にある編集ボタンを押下し、編集画面が現れたら、ネットワークタグの項目に先ほどのファイアウォールルール作成時に設定したターゲットタグで設定したタグ名を入力します。

設定を保存すれば完了です。

今回はGCEでのポート開放、ファイアウォールの設定でした。ファイアウォールルールの設定からインスタンスへの適用まで非常に簡単ですし、とても管理しやすいと思います。

コメント