このページでは、Google Cloud コンソールと Google Cloud CLI を使用してファイアウォール エンドポイントを構成および管理し、Virtual Private Cloud(VPC)ネットワークに関連付ける方法について説明します。
ゾーンレベルでファイアウォール エンドポイントを作成し、同じゾーン内の 1 つ以上の VPC ネットワークに関連付けます。VPC ネットワークに関連付けられたファイアウォール ポリシーでレイヤ 7 インスペクションを有効にしている場合、一致したトラフィックは透過的にインターセプトされ、ファイアウォール エンドポイントに転送されます。
ジャンボ フレームのサポートの有無にかかわらず、ファイアウォール エンドポイントを作成できます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
始める前に
VPC ネットワークとサブネットが必要です。
Google Cloud プロジェクトで Compute Engine API を有効にする必要があります。
課金に使用する Google Cloud プロジェクトで Network Security API を有効にする必要があります。
Google Cloud プロジェクトで Certificate Authority Service API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
ファイアウォール エンドポイントの作成、表示、更新、削除を行うために必要な権限を取得するには、組織またはプロジェクトに必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。
割り当て
ファイアウォール エンドポイントと関連付けの割り当てについては、割り当てと上限をご覧ください。
ファイアウォール エンドポイントを作成する
特定のゾーンにファイアウォール エンドポイントを作成します。
組織レベルのエンドポイント
ファイアウォール エンドポイントは組織レベルで作成できます。これらのエンドポイントは、組織レベルのセキュリティ プロファイル グループのみをサポートします。
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[作成] をクリックします。
[リージョン] リストで、ファイアウォール エンドポイントを作成するリージョンを選択します。
[ゾーン] リストで、ファイアウォール エンドポイントを作成するゾーンを選択します。
必要に応じて、[名前] フィールドに名前を入力します。
[課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。
[続行] をクリックします。
エンドポイントでジャンボ フレームをサポートする場合は、[ジャンボ フレームのサポートを有効にする] チェックボックスをオンにします。それ以外の場合は、このチェックボックスをオフにします。
[続行] をクリックします。
ファイアウォール エンドポイントの関連付けを追加する場合は、[エンドポイントの関連付けを追加] をクリックします。それ以外の場合は、この手順をスキップします。
- [プロジェクト] リストで、ファイアウォール エンドポイントの関連付けを作成する Google Cloud プロジェクトを選択します。
- Google Cloud プロジェクトで Compute Engine API または Network Security API が有効になっていない場合は、[有効にする] をクリックします。
- [ネットワーク] リストで、ファイアウォール エンドポイントに関連付けるネットワークを選択します。
- [TLS インスペクション ポリシー] リストで、この関連付けに追加する TLS インスペクション ポリシーを選択します。
- 別の関連付けを追加するには、[エンドポイントの関連付けを追加] をクリックします。
[作成] をクリックします。
gcloud
ファイアウォール エンドポイントを作成するには、gcloud network-security
firewall-endpoints create コマンドを使用します。
gcloud network-security firewall-endpoints create NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--enable-jumbo-frames \
--billing-project BILLING_PROJECT_ID
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。BILLING_PROJECT_ID: ファイアウォール エンドポイントの課金に使用される Google Cloud プロジェクト ID。
サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、オプションの --enable-jumbo-frames フラグを使用します。このフラグをスキップすると、ジャンボ フレームをサポートしないエンドポイントが作成されます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
Terraform
google_network_security_firewall_endpoint Terraform リソースを使用します。
resource "google_network_security_firewall_endpoint" "default" {
name = "my-firewall-endpoint"
parent = "organizations/123456789"
location = "us-central1-a"
billing_project_id = "my-project-name"
enable_jumbo_frames = true
}
サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、enable_jumbo_frames フィールドを True に設定します。ジャンボ フレームをサポートしないファイアウォール エンドポイントを作成するには、このフィールドを False に設定します。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
プロジェクト レベルのエンドポイント
ファイアウォール エンドポイントはプロジェクト レベルで作成できます。これらのエンドポイントは、組織レベルとプロジェクト レベルの両方のセキュリティ プロファイル グループをサポートしています。
gcloud
ファイアウォール エンドポイントを作成するには、gcloud beta network-security
firewall-endpoints create コマンドを使用します。
gcloud beta network-security firewall-endpoints create NAME \
--project PROJECT_ID \
--zone ZONE \
--enable-jumbo-frames
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。PROJECT_ID: エンドポイントが有効になっているプロジェクト。ZONE: エンドポイントがアクティブになっているゾーン。
サイズが最大 8,500 バイトのジャンボ フレームをサポートするファイアウォール エンドポイントを作成するには、オプションの --enable-jumbo-frames フラグを使用します。このフラグをスキップすると、ジャンボ フレームをサポートしないエンドポイントが作成されます。ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
ファイアウォール エンドポイントを VPC ネットワークに関連付けるには、ファイアウォール エンドポイントの関連付けを作成するをご覧ください。
ファイアウォール エンドポイントを表示する
特定のファイアウォール エンドポイントの詳細を表示できます。
組織レベルのエンドポイント
組織レベルのファイアウォール エンドポイントの詳細を表示するには、Google Cloud コンソールまたは gcloud CLI を使用します。
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタ メニューで、エンドポイントが有効になった組織を選択します。
[ファイアウォール エンドポイント] ページに、組織で構成されているすべてのファイアウォール エンドポイントが一覧表示されます。
ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。
gcloud
ファイアウォール エンドポイントの詳細を表示するには、gcloud network-security
firewall-endpoints describe コマンドを使用します。
gcloud network-security firewall-endpoints \
describe NAME \
--organization ORGANIZATION_ID \
--zone ZONE
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。
プロジェクト レベルのエンドポイント
プロジェクト レベルのファイアウォール エンドポイントの詳細を表示するには、gcloud CLI を使用します。
gcloud
ファイアウォール エンドポイントの詳細を表示するには、gcloud beta network-security
firewall-endpoints describe コマンドを使用します。
gcloud beta network-security firewall-endpoints \
describe NAME \
--project PROJECT_ID \
--zone ZONE
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。PROJECT_ID: エンドポイントが有効になっているプロジェクト。ZONE: エンドポイントがアクティブになっているゾーン。
ファイアウォール エンドポイントを一覧表示する
組織またはプロジェクト内のすべてのファイアウォール エンドポイントを一覧表示できます。
組織レベルのエンドポイント
組織レベルのすべてのファイアウォール エンドポイントを一覧表示するには、Google Cloud コンソールまたは gcloud CLI を使用します。
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタ メニューで、エンドポイントが有効になった組織を選択します。
[ファイアウォール エンドポイント] ページに、構成されているすべてのファイアウォール エンドポイントが一覧表示されます。
gcloud
すべてのファイアウォール エンドポイントを一覧表示するには、gcloud network-security
firewall-endpoints list コマンドを使用します。
gcloud network-security firewall-endpoints list \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。すべてのゾーンのエンドポイントを一覧表示するには、-を使用します。BILLING_PROJECT_ID: オペレーションの割り当てが課金対象となるGoogle Cloud プロジェクト ID(省略可)。これは、組織レベルのファイアウォール エンドポイントでのみ必要です。
プロジェクト レベルのエンドポイント
プロジェクト レベルのすべてのファイアウォール エンドポイントを一覧表示するには、gcloud CLI を使用します。
gcloud
すべてのファイアウォール エンドポイントを一覧表示するには、gcloud beta network-security
firewall-endpoints list コマンドを使用します。
gcloud beta network-security firewall-endpoints list \
--project PROJECT_ID \
--zone ZONE
次のように置き換えます。
PROJECT_ID: エンドポイントが有効になっているプロジェクト。ZONE: エンドポイントがアクティブになっているゾーン。すべてのゾーンのエンドポイントを一覧表示するには、-を使用します。
ファイアウォール エンドポイントを更新する
ファイアウォール エンドポイントのラベルを管理したり、説明を更新したりできます。
組織レベルのエンドポイント
組織レベルのファイアウォール エンドポイントを更新するには、Google Cloud コンソールまたは gcloud CLI を使用します。組織内のファイアウォール エンドポイントの課金プロジェクトを更新することもできます。
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタ メニューで、エンドポイントが有効になった組織を選択します。
[ファイアウォール エンドポイント] ページに、構成されているすべてのファイアウォール エンドポイントが一覧表示されます。
ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。
[編集] をクリックします。
[課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。
[保存] をクリックします。
gcloud
ファイアウォール エンドポイントを更新するには、gcloud network-security
firewall-endpoints update コマンドを使用します。
gcloud network-security firewall-endpoints \
update NAME \
--organization ORGANIZATION_ID \
--zone ZONE \
--billing-project BILLING_PROJECT_ID
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。BILLING_PROJECT_ID: 課金用にこのファイアウォール エンドポイントに関連付ける Google Cloud プロジェクト ID。これは、組織レベルのファイアウォール エンドポイントでのみ必要です。
ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
プロジェクト レベルのエンドポイント
プロジェクト レベルのファイアウォール エンドポイントを更新するには、gcloud CLI を使用します。ファイアウォール エンドポイントのラベルを管理したり、説明を更新したりできます。
gcloud
ファイアウォール エンドポイントを更新するには、gcloud beta network-security
firewall-endpoints update コマンドを使用します。
gcloud beta network-security firewall-endpoints \
update NAME \
--project PROJECT_ID \
--zone ZONE
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。PROJECT_ID: エンドポイントが有効になっているプロジェクト。ZONE: エンドポイントがアクティブになっているゾーン。
ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。
ファイアウォール エンドポイントを削除する
名前、ゾーン、組織またはプロジェクトを指定して、ファイアウォール エンドポイントを削除できます。
組織レベルのエンドポイント
組織レベルのファイアウォール エンドポイントを削除するには、Google Cloud コンソールまたは gcloud CLI を使用します。
コンソール
Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。
プロジェクト セレクタ メニューで、エンドポイントが有効になった組織を選択します。
ファイアウォール エンドポイントを選択し、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
ファイアウォール エンドポイントを削除するには、gcloud network-security
firewall-endpoints delete コマンドを使用します。
gcloud network-security firewall-endpoints delete NAME
--organization ORGANIZATION_ID \
--zone ZONE
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。ORGANIZATION_ID: エンドポイントが有効になっている組織。ZONE: エンドポイントがアクティブになっているゾーン。
プロジェクト レベルのエンドポイント
プロジェクト レベルのファイアウォール エンドポイントを削除するには、gcloud CLI を使用します。
gcloud
ファイアウォール エンドポイントを削除するには、gcloud network-security
firewall-endpoints delete コマンドを使用します。
gcloud beta network-security firewall-endpoints delete NAME
--project PROJECT_ID \
--zone ZONE
次のように置き換えます。
NAME: ファイアウォール エンドポイントの名前。PROJECT_ID: エンドポイントが有効になっているプロジェクト。ZONE: エンドポイントがアクティブになっているゾーン。