ファイアウォール エンドポイントとエンドポイントの関連付けを管理する

このページでは、Google Cloud コンソールと Google Cloud CLI を使用して、ファイアウォール エンドポイントとその Virtual Private Cloud(VPC)ネットワークとの関連付けを管理する方法について説明します。

ファイアウォール エンドポイントの詳細については、ファイアウォール エンドポイントの概要をご覧ください。ファイアウォール エンドポイントを作成するには、ファイアウォール エンドポイントを作成するをご覧ください。

始める前に

ファイアウォール エンドポイントと関連付けを管理する前に、次の操作を行います。

  1. VPC ネットワークサブネットがあることを確認します。
  2. 必要な API を有効にします。
  3. gcloud コマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。

ロールと権限

ファイアウォール エンドポイントと関連付けの表示、更新、削除に必要な権限を取得するには、組織またはプロジェクトに必要な Identity and Access Management(IAM)ロールを付与するよう管理者に依頼してください。詳細については、アクセスを管理するをご覧ください。

このページに記載されているオペレーションの進行状況を確認するには、ユーザー アカウントに Compute ネットワーク ユーザーroles/compute.networkUser)ロールが付与されていることを確認します。このロールには次の権限が含まれています。

  • networksecurity.operations.get
  • networksecurity.operations.list

割り当て

ファイアウォール エンドポイントと関連付けの割り当てについては、割り当てと上限をご覧ください。

組織レベルのエンドポイントを管理する

このセクションでは、組織レベルで定義されたファイアウォール エンドポイントを管理する方法について説明します。

組織レベルのエンドポイントを表示する

組織レベルのファイアウォール エンドポイントの詳細を表示するには、Google Cloud コンソールまたは gcloud CLI を使用します。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタ メニューで、エンドポイントが有効になった組織を選択します。

    [ファイアウォール エンドポイント] ページに、組織で構成されているすべてのファイアウォール エンドポイントが一覧表示されます。

  3. ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。

gcloud

ファイアウォール エンドポイントの詳細を表示するには、gcloud network-security firewall-endpoints describe コマンドを使用します。

gcloud network-security firewall-endpoints \
    describe NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

組織レベルのエンドポイントを一覧表示する

組織レベルのすべてのファイアウォール エンドポイントを一覧表示するには、Google Cloud コンソールまたは gcloud CLI を使用します。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタ メニューで、エンドポイントが有効になった組織を選択します。

  3. [ファイアウォール エンドポイント] ページに、構成されているすべてのファイアウォール エンドポイントが一覧表示されます。

gcloud

すべてのファイアウォール エンドポイントを一覧表示するには、gcloud network-security firewall-endpoints list コマンドを使用します。

gcloud network-security firewall-endpoints list \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

次のように置き換えます。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。すべてのゾーンのエンドポイントを一覧表示するには、- を使用します。

  • BILLING_PROJECT_ID: オペレーションの割り当てが課金対象となるGoogle Cloud プロジェクト ID(省略可)。これは、組織レベルのファイアウォール エンドポイントでのみ必要です。

組織レベルのエンドポイントを更新する

組織レベルのファイアウォール エンドポイントを更新するには、Google Cloud コンソールまたは gcloud CLI を使用します。組織内のファイアウォール エンドポイントの課金プロジェクトを更新することもできます。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタ メニューで、エンドポイントが有効になった組織を選択します。

    [ファイアウォール エンドポイント] ページに、構成されているすべてのファイアウォール エンドポイントが一覧表示されます。

  3. ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。

  4. [編集] をクリックします。

  5. [課金プロジェクト] リストで、ファイアウォール エンドポイントの課金に使用する Google Cloud プロジェクトを選択します。

  6. [保存] をクリックします。

gcloud

ファイアウォール エンドポイントを更新するには、gcloud network-security firewall-endpoints update コマンドを使用します。

gcloud network-security firewall-endpoints \
    update NAME \
    --organization ORGANIZATION_ID \
    --zone ZONE \
    --billing-project BILLING_PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

  • BILLING_PROJECT_ID: 課金用にこのファイアウォール エンドポイントに関連付ける Google Cloud プロジェクト ID。これは、組織レベルのファイアウォール エンドポイントでのみ必要です。

ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。

組織レベルのエンドポイントを削除する

名前、ゾーン、組織またはプロジェクトを指定して、ファイアウォール エンドポイントを削除できます。

組織レベルのファイアウォール エンドポイントを削除するには、Google Cloud コンソールまたは gcloud CLI を使用します。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタ メニューで、エンドポイントが有効になっている組織を選択します。

  3. ファイアウォール エンドポイントを選択し、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

ファイアウォール エンドポイントを削除するには、gcloud network-security firewall-endpoints delete コマンドを使用します。

gcloud network-security firewall-endpoints delete NAME
    --organization ORGANIZATION_ID \
    --zone ZONE

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • ORGANIZATION_ID: エンドポイントが有効になっている組織。

  • ZONE: エンドポイントがアクティブになっているゾーン。

プロジェクト レベルのエンドポイントを管理する

このセクションでは、プロジェクト レベルで定義されたファイアウォール エンドポイントを管理する方法について説明します。

プロジェクト レベルのエンドポイントを表示する

プロジェクト レベルのファイアウォール エンドポイントの詳細を表示するには、 Google Cloud コンソールまたは gcloud CLI を使用します。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタ メニューで、エンドポイントが存在するプロジェクトを選択します。

    [ファイアウォール エンドポイント] ページの [このプロジェクト内にあるファイアウォール エンドポイント] セクションに、現在のプロジェクトで構成されているすべてのファイアウォール エンドポイントが一覧表示されます。

  3. ファイアウォール エンドポイントの名前をクリックして、詳細を表示します。

gcloud

ファイアウォール エンドポイントの詳細を表示するには、gcloud beta network-security firewall-endpoints describe コマンドを使用します。

gcloud beta network-security firewall-endpoints \
    describe NAME \
    --project PROJECT_ID \
    --zone ZONE

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_ID: エンドポイントが有効になっているプロジェクト。

  • ZONE: エンドポイントがアクティブになっているゾーン。

プロジェクト レベルのエンドポイントを一覧表示する

プロジェクト レベルのすべてのファイアウォール エンドポイントを一覧表示するには、 Google Cloud コンソールまたは gcloud CLI を使用します。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト セレクタ メニューで、エンドポイントが存在するプロジェクトを選択します。

    [ファイアウォール エンドポイント] ページの [このプロジェクト内にあるファイアウォール エンドポイント] セクションに、現在のプロジェクトで構成されているすべてのファイアウォール エンドポイントが一覧表示されます。

gcloud

すべてのファイアウォール エンドポイントを一覧表示するには、gcloud beta network-security firewall-endpoints list コマンドを使用します。

gcloud beta network-security firewall-endpoints list \
    --project PROJECT_ID \
    --zone ZONE

次のように置き換えます。

  • PROJECT_ID: エンドポイントが有効になっているプロジェクト。

  • ZONE: エンドポイントがアクティブになっているゾーン。すべてのゾーンのエンドポイントを一覧表示するには、- を使用します。

プロジェクト レベルのエンドポイントを更新する

プロジェクト レベルのファイアウォール エンドポイントを更新するには、gcloud CLI を使用します。ファイアウォール エンドポイントのラベルを管理したり、説明を更新したりできます。

gcloud

ファイアウォール エンドポイントを更新するには、gcloud beta network-security firewall-endpoints update コマンドを使用します。

gcloud beta network-security firewall-endpoints \
    update NAME \
    --project PROJECT_ID \
    --zone ZONE

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_ID: エンドポイントが有効になっているプロジェクト。

  • ZONE: エンドポイントがアクティブになっているゾーン。

ファイアウォール エンドポイントでサポートされているパケットサイズについては、サポートされているパケットサイズをご覧ください。

プロジェクト レベルのエンドポイントを削除する

プロジェクト レベルのファイアウォール エンドポイントを削除するには、gcloud CLI を使用します。

gcloud

ファイアウォール エンドポイントを削除するには、gcloud network-security firewall-endpoints delete コマンドを使用します。

gcloud beta network-security firewall-endpoints delete NAME
    --project PROJECT_ID \
    --zone ZONE

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの名前。

  • PROJECT_ID: エンドポイントが有効になっているプロジェクト。

  • ZONE: エンドポイントがアクティブになっているゾーン。

ファイアウォール エンドポイントの関連付けを管理する

ファイアウォール エンドポイントの関連付けは、ファイアウォール エンドポイントを特定のゾーンの VPC ネットワークに接続します。

関連付けを管理する前に、ファイアウォール エンドポイントがあることを確認してください。関連付けを作成するには、ファイアウォール エンドポイントと関連付けを作成するをご覧ください。

関連付けの要件

エンドポイントの関連付けを構成する場合は、次の要件を満たしてください。

  • ゾーンの制約: 関連付けは、ファイアウォール エンドポイントと同じゾーンに作成する必要があります。トラフィック検査を効果的に行うには、コンピューティング インスタンスがデプロイされているゾーンで関連付けを作成します。
  • ゾーンごとに 1 つのエンドポイント: 単一のゾーンでは、VPC ネットワークを 1 つのファイアウォール エンドポイント(プロジェクト レベル(プレビュー)または組織レベル)にのみ関連付けることができます。ただし、1 つの VPC ネットワークを複数の異なるゾーンの異なるファイアウォール エンドポイントに関連付けることはできます。
  • プロジェクト間の関連付け: VPC ネットワークを別のプロジェクトのファイアウォール エンドポイントに関連付けることができます。
    • プロジェクト レベルのエンドポイント(プレビュー)を使用する場合、エンドポイントのプロジェクトは VPC ネットワークと同じ組織に存在する必要があります。
  • リソース マッピング: 関連付けはプロジェクト レベルのリソースです。関連付けが組織レベルのファイアウォール エンドポイントを指している場合でも、コンピューティング インスタンスがデプロイされている特定のプロジェクト内で関連付けを作成します。

ジャンボ フレームをサポートするファイアウォール エンドポイントは、最大 8,500 バイトのパケットのみを受け入れることができます。ジャンボ フレームをサポートしていないファイアウォール エンドポイントは、最大 1,460 バイトのパケットのみを受け入れることができます。URL フィルタリング サービスまたは侵入検知 / 防御サービスが必要な場合は、関連する VPC ネットワークで 8,500 バイトと 1,460 バイトの最大伝送単位(MTU)の上限を使用するように構成することをおすすめします。詳細については、 サポートされているパケットサイズをご覧ください。

ファイアウォール エンドポイントの関連付けを表示する

組織レベルのファイアウォール エンドポイントの関連付けまたはプロジェクト レベルのファイアウォール エンドポイントの関連付けの詳細を表示するには、gcloud CLI を使用します。

gcloud

ファイアウォール エンドポイントの関連付けを表示するには、gcloud network-security firewall-endpoint-associations describe コマンドを使用します。

組織レベルのファイアウォール エンドポイント

gcloud network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

プロジェクト レベルのファイアウォール エンドポイント

gcloud beta network-security firewall-endpoint-associations \
    describe NAME \
    --zone ZONE \
    [ --project PROJECT_ID ]

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

すべてのファイアウォール エンドポイントの関連付けを一覧表示する

組織レベルとプロジェクト レベルのすべてのファイアウォール エンドポイントの関連付けを一覧表示するには、Google Cloud コンソールまたは gcloud CLI を使用します。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト選択メニューで、 Google Cloud プロジェクトを選択します。

    [ファイアウォール エンドポイントの関連付け] セクションの表に、組織レベルとプロジェクト レベルのエンドポイントのすべてのファイアウォール エンドポイントの関連付けが一覧表示されます。

gcloud

特定のネットワークのファイアウォール エンドポイントの関連付けを一覧表示するには、--filter フラグを指定して gcloud network-security firewall-endpoint-associations list コマンドを使用します。

組織レベルのファイアウォール エンドポイント

gcloud network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

プロジェクト レベルのファイアウォール エンドポイント

gcloud beta network-security firewall-endpoint-associations list \
    --filter network:NETWORK_NAME \
    [ --project PROJECT_ID ]

次のように置き換えます。

  • NETWORK_NAME: VPC ネットワークの名前。
  • PROJECT_ID: ファイアウォール エンドポイントの関連付けが作成される Google Cloud プロジェクト ID。

ファイアウォール エンドポイントの関連付けを編集する

組織レベルのファイアウォール エンドポイントの関連付けを編集するには、Google Cloud コンソールまたは gcloud CLI を使用します。プロジェクト レベルのファイアウォール エンドポイントの関連付けを編集するには、gcloud CLI を使用します。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト選択メニューで、 Google Cloud プロジェクトを選択します。

    [ファイアウォール エンドポイントの関連付け] セクションの表に、このプロジェクトに構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。

  3. 更新するファイアウォール エンドポイントの関連付けの横にある [編集] をクリックします。

  4. ファイアウォール エンドポイントの関連付けを無効にするには、[関連付けを有効にする] チェックボックスをオフにします。

  5. TLS インスペクション ポリシーを更新するには、[TLS インスペクション ポリシー] リストから新しいポリシーを選択します。

  6. [保存] をクリックします。

gcloud

ファイアウォール エンドポイントの関連付けを更新するには、gcloud network-security firewall-endpoint-associations update コマンドを使用します。

組織レベルのファイアウォール エンドポイント

gcloud network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

プロジェクト レベルのファイアウォール エンドポイント

gcloud beta network-security firewall-endpoint-associations
    update NAME \
    --zone ZONE \
    --project PROJECT_ID \
    [ --disabled ] \
    [ --tls-inspection-policy projects/TLS_PROJECT_NAME/locations/REGION_NAME/tlsInspectionPolicies/TLS_POLICY_NAME ]

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

  • TLS_PROJECT_NAME: TLS インスペクション ポリシーの Google Cloud プロジェクト名。

  • REGION_NAME: TLS インスペクション ポリシーのリージョン名。

  • TLS_POLICY_NAME: TLS インスペクション ポリシーの名前。

ファイアウォール エンドポイントの関連付けを削除する

組織レベルのファイアウォール エンドポイントの関連付けを削除するには、Google Cloud コンソールまたは gcloud CLI を使用します。プロジェクト レベルのファイアウォール エンドポイントの関連付けを削除するには、gcloud CLI を使用します。

Google Cloud プロジェクトが削除されると、関連するファイアウォール エンドポイントの関連付けは自動的に削除されます。この削除は、後でプロジェクトを復元しても元に戻せません。

ただし、これらの関連付けの削除プロセスが失敗することがあります。この場合、プロジェクトが復元されると、関連付けられたファイアウォール エンドポイントは、復元されたプロジェクト内で ORPHAN 状態になります。これは、削除が失敗したことにより、プロジェクトとそのリソース間のリンクが無効になっていることを示します。

これらの孤立したアソシエーションは Google Cloud コンソールで確認できますが、編集はできません。Cloud Next Generation Firewall は、このような孤立したリソースを削除するバックグラウンド プロセスを定期的に実行します。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール エンドポイント] ページに移動します。

    [ファイアウォール エンドポイント] に移動

  2. プロジェクト選択メニューで、 Google Cloud プロジェクトを選択します。

    [ファイアウォール エンドポイントの関連付け] セクションの表に、このプロジェクトに構成されているファイアウォール エンドポイントの関連付けがすべて表示されます。

  3. ファイアウォール エンドポイントの関連付けを選択し、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

ファイアウォール エンドポイントの関連付けを削除するには、gcloud network-security firewall-endpoint-associations delete コマンドを使用します。

組織レベルのファイアウォール エンドポイント

gcloud network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

プロジェクト レベルのファイアウォール エンドポイント

gcloud beta network-security firewall-endpoint-associations \
    delete NAME \
    --zone ZONE \
    --project PROJECT_ID

次のように置き換えます。

  • NAME: ファイアウォール エンドポイントの関連付けの名前。

  • ZONE: ファイアウォール エンドポイントの関連付けのゾーン。

  • PROJECT_ID: 関連付けが作成される Google Cloud プロジェクト ID。

次のステップ