このページでは、Google Cloud コンソールと Google Cloud CLI を使用してファイアウォール エンドポイントを構成し、Virtual Private Cloud(VPC)ネットワークに関連付ける方法について説明します。
ゾーンレベルでファイアウォール エンドポイントを作成し、同じゾーン内の 1 つ以上の VPC ネットワークに関連付けます。VPC ネットワークに関連付けられたファイアウォール ポリシーでレイヤ 7 インスペクションを有効にしている場合、一致したトラフィックは透過的にインターセプトされ、ファイアウォール エンドポイントに転送されます。
ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールに次の Compute ネットワーク ユーザー(roles/compute.networkUser)の権限が付与されていることを確認してください。
networksecurity.operations.getnetworksecurity.operations.list
始める前に
VPC ネットワークとサブネットが必要です。
Google Cloud プロジェクトで Compute Engine API を有効にする必要があります。
課金に使用する Google Cloud プロジェクトで Network Security API を有効にする必要があります。
Google Cloud プロジェクトで Certificate Authority Service API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
ファイアウォール エンドポイントの作成に必要な権限を取得するには、組織またはプロジェクトに必要な IAM ロールを付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。
割り当て
ファイアウォール エンドポイントと関連付けの割り当てについては、割り当てと上限をご覧ください。
ファイアウォール エンドポイントを作成する
特定のゾーンにファイアウォール エンドポイントを作成します。
組織レベルのエンドポイント
ファイアウォール エンドポイントは組織レベルで作成できます。これらのエンドポイントは、組織レベルのセキュリティ プロファイル グループのみをサポートします。
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[作成] をクリックします。
[リージョン] リストで、ファイアウォール エンドポイントを作成するリージョンを選択します。
[ゾーン] リストで、ファイアウォール エンドポイントを作成するゾーンを選択します。
必要に応じて、[名前] フィールドに名前を入力します。
[課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。
[続行] をクリックします。
エンドポイントでジャンボ フレームをサポートする場合は、[ジャンボ フレームのサポートを有効にする] チェックボックスをオンにします。それ以外の場合は、このチェックボックスをオフにします。
[続行] をクリックします。
ファイアウォール エンドポイントの関連付けを追加する場合は、[エンドポイントの関連付けを追加] をクリックします。それ以外の場合は、この手順をスキップします。
- [プロジェクト] リストで、ファイアウォール エンドポイントの関連付けを作成する Google Cloud プロジェクトを選択します。
- Google Cloud プロジェクトで Compute Engine API または Network Security API が有効になっていない場合は、[有効にする] をクリックします。
- [ネットワーク] リストで、ファイアウォール エンドポイントに関連付けるネットワークを選択します。
- [TLS インスペクション ポリシー] リストで、この関連付けに追加する TLS インスペクション ポリシーを選択します。
- 別の関連付けを追加するには、[エンドポイントの関連付けを追加] をクリックします。
[作成] をクリックします。
gcloud
ファイアウォール エンドポイントを作成するには、gcloud network-security
firewall-endpoints create コマンドを使用します。
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。BILLING_PROJECT_ID: ファイアウォール エンドポイントの課金に使用される Google Cloud プロジェクト ID。
サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、オプションの --enable-jumbo-frames フラグを使用します。このフラグをスキップすると、ジャンボ フレームをサポートしないエンドポイントが作成されます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
Terraform
google_network_security_firewall_endpoint Terraform リソースを使用します。
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、enable_jumbo_frames フィールドを True に設定します。ジャンボ フレームをサポートしないファイアウォール エンドポイントを作成するには、このフィールドを False に設定します。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
プロジェクト レベルのエンドポイント
ファイアウォール エンドポイントはプロジェクト レベルで作成できます。これらのエンドポイントは、組織レベルとプロジェクト レベルの両方のセキュリティ プロファイル グループをサポートしています。
gcloud
ファイアウォール エンドポイントを作成するには、gcloud beta network-security
firewall-endpoints create コマンドを使用します。
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。PROJECT_ID: エンドポイントが有効になっているプロジェクト。ZONE: エンドポイントがアクティブになっているゾーン。
サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、オプションの --enable-jumbo-frames フラグを使用します。このフラグをスキップすると、ジャンボ フレームをサポートしないエンドポイントが作成されます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。