ファイアウォール エンドポイントとエンドポイントの関連付けを作成する

このページでは、コンソール、Google Cloud CLI、または Terraform を使用してファイアウォール エンドポイントを構成し、 Virtual Private Cloud(VPC)ネットワークに関連付ける方法について説明します。Google Cloud

ゾーンレベルでファイアウォール エンドポイントを作成し、同じゾーン内の 1 つ以上の VPC ネットワークに関連付けます。VPC ネットワークに関連付けられたファイアウォール ポリシーでレイヤ 7 インスペクションが有効になっている場合、一致したトラフィックは透過的にインターセプトされ、ファイアウォール エンドポイントに転送されます。

ジャンボ フレームをサポートするファイアウォール エンドポイントと、ジャンボ フレームをサポートしないファイアウォール エンドポイントを作成できます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、 サポートされているパケットサイズをご覧ください。

始める前に

ファイアウォール エンドポイントと関連付けを構成する前に、次の操作を行います。

  1. VPC ネットワークサブネットがあることを確認します。
  2. 必要な API を有効にします。
  3. `gcloud` コマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。gcloud

ロールと権限

ファイアウォール エンドポイントの作成に必要な権限を取得するには、 組織またはプロジェクトに必要な Identity and Access Management(IAM)ロール を付与するよう管理者に依頼してください。詳細については、 アクセスを管理するをご覧ください。

このページに記載されているオペレーションの進行状況を確認するには、 ユーザー アカウントに Compute ネットワーク ユーザーroles/compute.networkUser)ロールが付与されていることを確認します。このロールには次の権限が含まれています。

  • networksecurity.operations.get
  • networksecurity.operations.list

割り当て

ファイアウォール エンドポイントと関連付けの割り当てについては、 割り当てと上限をご覧ください。

ファイアウォール エンドポイントを作成する

特定のゾーンにファイアウォール エンドポイントを作成します。

組織レベルのエンドポイント

組織レベルでファイアウォール エンドポイントを作成できます。これらのエンドポイントは、組織レベルのセキュリティ プロファイル グループのみをサポートします。

コンソール

  1. コンソールで、[**ファイアウォール エンドポイント**] ページに移動します。 Google Cloud

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. [作成] をクリックします。

  4. [リージョン] リストで、ファイアウォール エンドポイントを作成するリージョンを選択します。

  5. [ゾーン] リストで、ファイアウォール エンドポイントを作成するゾーンを選択します。

  6. 必要に応じて、[名前] フィールドに名前を入力します。

  7. [**課金プロジェクト**] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。

  8. [続行] をクリックします。

  9. エンドポイントでジャンボ フレームをサポートする場合は、[ジャンボ フレームのサポートを有効にする] チェックボックスをオンにします。それ以外の場合は、このチェックボックスをオフにします。

  10. [続行] をクリックします。

  11. ファイアウォール エンドポイントの関連付けを追加する場合は、 [エンドポイントの関連付けを追加] をクリックします。それ以外の場合は、この手順をスキップします。

    1. [**プロジェクト**] リストで、ファイアウォール エンドポイントの関連付けを作成する Google Cloud プロジェクトを選択します。
    2. プロジェクトで Compute Engine API または Network Security API が有効になっていない場合は、 プロジェクト Google Cloud で [有効にする] をクリックします。
    3. [ネットワーク] リストで、ファイアウォール エンドポイントに関連付けるネットワークを選択します。
    4. [TLS インスペクション ポリシー] リストで、この関連付けに追加する TLS インスペクション ポリシーを選択します。
    5. 別の関連付けを追加するには、[エンドポイントの関連付けを追加] をクリックします。

  12. [作成] をクリックします。

gcloud

ファイアウォール エンドポイントを作成するには、gcloud network-security firewall-endpoints create コマンドを使用します。

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

  • BILLING_PROJECT_ID: ファイアウォール エンドポイントの課金に使用される Google Cloud プロジェクト ID。

サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、省略可能な --enable-jumbo-frames フラグを使用します。ジャンボ フレームをサポートしないエンドポイントを作成するには、このフラグを省略します。ファイアウォール エンドポイントでサポートされているパケットサイズについては、 サポートされているパケットサイズをご覧ください。

ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、 ファイアウォール エンドポイントの 関連付けを作成するをご覧ください。

Terraform

google_network_security_firewall_endpoint Terraform リソースを使用します。

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、フィールド enable_jumbo_framestrue に設定します。ジャンボ フレームをサポートしないファイアウォール エンドポイントを作成するには、このフィールドを false に設定します。ファイアウォール エンドポイントでサポートされているパケットサイズについては、 サポートされているパケットサイズをご覧ください。

Terraform 構成を適用または削除する方法については、 基本的な Terraform コマンドをご覧ください。

プロジェクト レベルのエンドポイント

プロジェクト レベルでファイアウォール エンドポイントを作成できます。これらのエンドポイントは、組織レベルとプロジェクト レベルの両方のセキュリティ プロファイル グループをサポートします。

gcloud

ファイアウォール エンドポイントを作成するには、gcloud beta network-security firewall-endpoints create commandを使用します。

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_ID: エンドポイントが有効になっているプロジェクト。

  • ZONE: エンドポイントがアクティブになっているゾーン。

サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、省略可能な --enable-jumbo-frames フラグを使用します。ジャンボ フレームをサポートしないエンドポイントを作成するには、このフラグを省略します。ファイアウォール エンドポイントでサポートされているパケットサイズについては、 サポートされているパケットサイズをご覧ください。

ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、 ファイアウォール エンドポイントの 関連付けを作成するをご覧ください。

ファイアウォール エンドポイントの関連付けの作成

ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを特定のゾーンの VPC ネットワークに接続します。この関連付けにより、そのゾーン内の関連付けられたネットワークのインターセプト ルールに一致するトラフィックがファイアウォール エンドポイントによって検査されます。

関連付けを作成する前に、ファイアウォール エンドポイント があることを確認してください。

関連付けの要件

エンドポイントの関連付けを構成する場合は、次の要件に従ってください。

  • ゾーンの制約: 関連付けは、ファイアウォール エンドポイントと同じゾーンに作成する必要があります。トラフィック検査を効果的に行うには、コンピューティング インスタンスがデプロイされているゾーンに関連付けを作成します。
  • ゾーンごとに 1 つのエンドポイント: 単一のゾーンでは、VPC ネットワークを 1 つのファイアウォール エンドポイント (プロジェクト レベル(プレビュー) または組織レベル)にのみ関連付けることができます。ただし、複数の異なるゾーンにまたがる異なるファイアウォール エンドポイントに、1 つの VPC ネットワークを関連付けることができます。
  • プロジェクト間の関連付け: VPC ネットワークを別のプロジェクトのファイアウォール エンドポイントに関連付けることができます。
    • プロジェクト レベルのエンドポイント(プレビュー)を使用する場合、エンドポイントのプロジェクト は VPC ネットワークと同じ組織に存在する必要があります。
  • リソース マッピング: 関連付けはプロジェクト レベルのリソースです。関連付けが組織レベルのファイアウォール エンドポイントを指している場合でも、コンピューティング インスタンスがデプロイされている特定のプロジェクト内で関連付けを作成します。

ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットのみを受け入れることができます。一方、ジャンボ フレームをサポートしないファイアウォール エンドポイントは、最大 1,460 バイトのパケットのみを受け入れることができます。URL フィルタリング サービスまたは侵入検知と防止サービスが必要な場合は、関連付けられた VPC ネットワークで 最大伝送単位(MTU) の上限を 8,500 バイトと 1,460 バイトに設定することをおすすめします。詳細については、 サポートされているパケットサイズをご覧ください。

コンソール

  1. コンソールで、[**ファイアウォール エンドポイント**] ページに移動します。 Google Cloud

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、 プロジェクトを選択します。 Google Cloud

  3. [エンドポイントの関連付けを作成] をクリックします。

  4. [リージョン] リストで、ファイアウォール エンドポイントの関連付けを作成するリージョンを選択します。

  5. [ゾーン] リストで、ファイアウォール エンドポイントの関連付けを作成するゾーンを選択します。

  6. [ファイアウォール エンドポイント] リストで、関連付けに追加するファイアウォール エンドポイントを選択します。

  7. [ネットワーク] リストで、関連付けに追加するネットワークを選択します。

  8. [TLS インスペクション ポリシー] リストで、この関連付けに追加する TLS インスペクション ポリシーを選択します。

  9. [作成] をクリックします。

gcloud

ファイアウォール エンドポイントの関連付けを作成するには、 gcloud network-security firewall-endpoint-associations create コマンドを使用します。

組織レベルのファイアウォール エンドポイント

gcloud network-security firewall-endpoint-associations \
    create NAME \
    --endpoint organizations/ORGANIZATION_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

プロジェクト レベルのファイアウォール エンドポイント

gcloud beta network-security firewall-endpoint-associations \
    create NAME \
    --endpoint projects/ENDPOINT_PROJECT_ID/locations/ZONE/firewallEndpoints/FIREWALL_ENDPOINT_NAME \
    --network projects/PROJECT_NAME/global/networks/NETWORK_NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ORGANIZATION_ID: 組織レベルのファイアウォール エンドポイントが作成される組織 ID。

  • ENDPOINT_PROJECT_ID: プロジェクト レベルのファイアウォール エンドポイントが作成される Google Cloud プロジェクト ID。

  • ZONE: ファイアウォール エンドポイントのゾーン。

  • FIREWALL_ENDPOINT_NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_NAME: ネットワークの プロジェクト名。 Google Cloud

  • NETWORK_NAME: ネットワークの名前。

  • PROJECT_ID:関連付けが作成される Google Cloud プロジェクト ID。これは、トラフィックをインターセプトするプロジェクトである必要があります。

  • TLS_PROJECT_NAME: TLS インスペクション ポリシーの プロジェクト名。 Google Cloud

  • REGION_NAME: TLS インスペクション ポリシーのリージョン名。

  • TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。

    このポリシーは、指定したネットワーク上の暗号化されたトラフィックの TLS インスペクションに使用されます。これは省略可能な引数です。

次のステップ