GCPを始める ~VPC:ファイアウォール ルールの作成~

GCP

VPCファイアウォールについて学習していく。

今回は、以前に学習したファイアウォール ルールの概要を思い出しつつ、ファイアウォール ルールを作成していこうと思う。

前回はこちら→GCPを始める ~VPC:ファイアウォール ルールの概要~

cloud.google.com

前提条件

  • VPC ネットワークを事前に作成していること。
    ※ここでは、[test-network] という VPC ネットワークがあることを前提とします。

手順

  1. GCP Console で [ファイアウォール ルール] ページに移動します。
  2. [ファイアウォール ルールを作成] をクリックします。
  3. ファイアウォール ルールの [名前] を入力します。
    ※この名前はプロジェクトで一意にする必要があります。 f:id:saito_shion:20200304125726p:plain
  4. (省略可)ロギングを有効にできます。 f:id:saito_shion:20200304125920p:plain
  5. ファイアウォール ルールを適用する [ネットワーク] を指定します。 f:id:saito_shion:20200304110628p:plain
  6. ルールの [優先度] を指定します。
    ※数字が小さいほど、優先順位が高くなります。 f:id:saito_shion:20200304110816p:plain
  7. [トラフィックの方向] には、上りと下りのいずれかを選択します。
    ※上り=受信トラフィック、下り=送信トラフィック f:id:saito_shion:20200304112309p:plain
  8. [一致したときのアクション] には、許可と拒否のいずれかを選択します。 f:id:saito_shion:20200304112603p:plain
  9. ルールの [ターゲット] を指定します。
    ※今回は、ネットワーク内のすべてのインスタンスに対して、ルールを適用します。 f:id:saito_shion:20200304113105p:plain
  10. 上り(受信トラフィック)ルールの場合
    1. [ソースフィルタ] を指定します。
      ※今回は、IP アドレスでフィルタリングします。 f:id:saito_shion:20200304130219p:plain
    2. [ソース IP の範囲] フィールドに、CIDR ブロック(Ex. 192.168.2.0/24)を入力します。 f:id:saito_shion:20200304113755p:plain
  11. 下り(送信トラフィック)ルールの場合
    1. [送信先フィルタ] を指定します。 f:id:saito_shion:20200304114804p:plain
    2. [送信先 IP 範囲] フィールドに、CIDR ブロック(Ex. 192.168.2.0/24)を入力します。 f:id:saito_shion:20200304114838p:plain
  12. ルールを適用する [プロトコルとポート] を定義します。 f:id:saito_shion:20200304130405p:plain
  13. [作成] をクリックします。

終わりに

ファイアウォール ルールを作成することができた。

今回は最も利用しそうな、IP アドレスによるフィルタリングを作成した。 GCP では、タグやサービスアカウントといったフィルタリングも可能なため、いろいろと柔軟な設定ができそうである。

次回は、作成したファイアウォール ルールが適用されていることを実際に確認しようと思う。