ファイアウォール エンドポイントを作成する

このページでは、Google Cloud コンソールと Google Cloud CLI を使用してファイアウォール エンドポイントを構成し、Virtual Private Cloud(VPC)ネットワークに関連付ける方法について説明します。

ゾーンレベルでファイアウォール エンドポイントを作成し、同じゾーン内の 1 つ以上の VPC ネットワークに関連付けます。VPC ネットワークに関連付けられたファイアウォール ポリシーでレイヤ 7 インスペクションを有効にしている場合、一致したトラフィックは透過的にインターセプトされ、ファイアウォール エンドポイントに転送されます。

ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。

このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールに次の Compute ネットワーク ユーザーroles/compute.networkUser)の権限が付与されていることを確認してください。

  • networksecurity.operations.get
  • networksecurity.operations.list

始める前に

ロール

ファイアウォール エンドポイントの作成に必要な権限を取得するには、組織またはプロジェクトに必要な IAM ロールを付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

割り当て

ファイアウォール エンドポイントと関連付けの割り当てについては、割り当てと上限をご覧ください。

ファイアウォール エンドポイントを作成する

特定のゾーンにファイアウォール エンドポイントを作成します。

組織レベルのエンドポイント

ファイアウォール エンドポイントは組織レベルで作成できます。これらのエンドポイントは、組織レベルのセキュリティ プロファイル グループのみをサポートします。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. [作成] をクリックします。

  4. [リージョン] リストで、ファイアウォール エンドポイントを作成するリージョンを選択します。

  5. [ゾーン] リストで、ファイアウォール エンドポイントを作成するゾーンを選択します。

  6. 必要に応じて、[名前] フィールドに名前を入力します。

  7. [課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。

  8. [続行] をクリックします。

  9. エンドポイントでジャンボ フレームをサポートする場合は、[ジャンボ フレームのサポートを有効にする] チェックボックスをオンにします。それ以外の場合は、このチェックボックスをオフにします。

  10. [続行] をクリックします。

  11. ファイアウォール エンドポイントの関連付けを追加する場合は、[エンドポイントの関連付けを追加] をクリックします。それ以外の場合は、この手順をスキップします。

    1. [プロジェクト] リストで、ファイアウォール エンドポイントの関連付けを作成する Google Cloud プロジェクトを選択します。
    2. Google Cloud プロジェクトで Compute Engine API または Network Security API が有効になっていない場合は、[有効にする] をクリックします。
    3. [ネットワーク] リストで、ファイアウォール エンドポイントに関連付けるネットワークを選択します。
    4. [TLS インスペクション ポリシー] リストで、この関連付けに追加する TLS インスペクション ポリシーを選択します。
    5. 別の関連付けを追加するには、[エンドポイントの関連付けを追加] をクリックします。
  12. [作成] をクリックします。

gcloud

ファイアウォール エンドポイントを作成するには、gcloud network-security firewall-endpoints create コマンドを使用します。

gcloud network-security firewall-endpoints create NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --enable-jumbo-frames \
    --billing-project BILLING_PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

  • BILLING_PROJECT_ID: ファイアウォール エンドポイントの課金に使用される Google Cloud プロジェクト ID。

サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、オプションの --enable-jumbo-frames フラグを使用します。このフラグをスキップすると、ジャンボ フレームをサポートしないエンドポイントが作成されます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。

ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

Terraform

google_network_security_firewall_endpoint Terraform リソースを使用します。

resource "google_network_security_firewall_endpoint" "default" {
  name               = "my-firewall-endpoint"
  parent             = "organizations/123456789"
  location           = "us-central1-a"
  billing_project_id = "my-project-name"
  enable_jumbo_frames = true
}

サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、enable_jumbo_frames フィールドを True に設定します。ジャンボ フレームをサポートしないファイアウォール エンドポイントを作成するには、このフィールドを False に設定します。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

プロジェクト レベルのエンドポイント

ファイアウォール エンドポイントはプロジェクト レベルで作成できます。これらのエンドポイントは、組織レベルとプロジェクト レベルの両方のセキュリティ プロファイル グループをサポートしています。

gcloud

ファイアウォール エンドポイントを作成するには、gcloud beta network-security firewall-endpoints create コマンドを使用します。

gcloud beta network-security firewall-endpoints create NAME \
    --project PROJECT_ID \
    --zone ZONE \
    --enable-jumbo-frames

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_ID: エンドポイントが有効になっているプロジェクト。

  • ZONE: エンドポイントがアクティブになっているゾーン。

サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、オプションの --enable-jumbo-frames フラグを使用します。このフラグをスキップすると、ジャンボ フレームをサポートしないエンドポイントが作成されます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。

ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。

次のステップ