このページは、リージョン ネットワーク ファイアウォール ポリシーの概要で説明されているコンセプトを理解していることを前提としています。
ファイアウォール ポリシーのタスク
このセクションでは、リージョン ネットワーク ファイアウォール ポリシーの作成、関連付け、管理を行う方法について説明します。
リージョン ネットワーク ファイアウォール ポリシーを作成する
Google Cloud コンソールを使用してリージョン ネットワーク ファイアウォール ポリシーを作成するときに、作成時にポリシーをリージョンと Virtual Private Cloud(VPC)ネットワークに関連付けることができます。Google Cloud CLI を使用してポリシーを作成する場合は、ポリシーの作成後にポリシーをリージョンとネットワークに関連付ける必要があります。
リージョン ネットワーク ファイアウォール ポリシーが関連付けられている VPC ネットワークは、リージョン ネットワーク ファイアウォール ポリシーと同じプロジェクトに存在する必要があります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのメニューで、組織内のプロジェクトを選択します。
[ファイアウォール ポリシーを作成] をクリックします。
[ポリシー名] フィールドに、ポリシー名を入力します。
[デプロイのスコープ] で [リージョン] を選択します。このファイアウォール ポリシーを作成するリージョンを選択します。
ポリシーのルールを作成するには、[続行] をクリックします。
[ルールを追加] セクションで、[ファイアウォール ルールを作成] をクリックします。
詳細については、ルールを作成するをご覧ください。
ポリシーをネットワークに関連付ける場合は、[続行] をクリックします。
[ポリシーとネットワークの関連付け] セクションで、[関連付け] をクリックします。
詳細については、ポリシーをネットワークに関連付けるをご覧ください。
[作成] をクリックします。
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
次のように置き換えます。
NETWORK_FIREWALL_POLICY_NAME: ポリシーの名前DESCRIPTION: ポリシーの説明REGION_NAME: ポリシーのリージョン
ポリシーをネットワークに関連付ける
リージョン ネットワーク ファイアウォール ポリシーを VPC ネットワークのリージョンに関連付け、ポリシーのルールをそのネットワーク リージョンに適用できます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
[関連付けを追加] をクリックします。
プロジェクト内のネットワークを選択します。
[関連付け] をクリックします。
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
--name ASSOCIATION_NAME \
--firewall-policy-region=REGION_NAME
次のように置き換えます。
POLICY_NAME: ポリシーの略称またはシステムによって生成された名前。NETWORK_NAME: 関連付けられたネットワークの名前。ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前はnetwork-NETWORK_NAMEに設定されます。REGION_NAME: ポリシーのリージョン。
関連付けを削除する
ネットワークのファイアウォール ポリシーの適用を停止するには、関連付けを削除します。
ただし、あるファイアウォール ポリシーを別のファイアウォール ポリシーに入れ替える場合は、最初に既存の関連付けを削除する必要はありません。この関連付けを削除すると、どちらのポリシーも適用されない期間が発生します。代わりに、新しいポリシーを関連付ける際は、既存のポリシーを置き換えます。
リージョン ネットワーク ファイアウォール ポリシーと VPC ネットワークのリージョンの関連付けを削除するには、このセクションで説明する手順に沿って操作します。リージョン ネットワーク ファイアウォール ポリシーのルールは、関連付けが削除された後の新しい接続には適用されません。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、プロジェクトまたはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
削除する関連付けを選択します。
[関連付けを削除] をクリックします。
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region REGION_NAME
リージョン ネットワーク ファイアウォール ポリシーの情報を取得する
リージョン ネットワーク ファイアウォール ポリシーの詳細(ポリシー ルールや関連するルール属性など)を表示できます。これらのルール属性はすべて、ルール属性の割り当ての一部としてカウントされます。詳細については、ファイアウォール ポリシーごとの表の「リージョン ネットワーク ファイアウォール ポリシーごとのルール属性」をご覧ください。また、既存の VPC ネットワーク関連付けの優先順位を表示することもできます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、リージョン ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
リージョン ネットワーク ファイアウォール ポリシーの説明を更新する
更新できるポリシー フィールドは [説明] フィールドのみです。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、リージョン ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[編集] をクリックします。
[説明] フィールドで、説明を変更します。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
リージョン ネットワーク ファイアウォール ポリシーを一覧表示する
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
[ネットワーク ファイアウォール ポリシー] セクションに、プロジェクトで使用可能なポリシーが表示されます。
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
リージョン ネットワーク ファイアウォール ポリシーを削除する
リージョン ネットワーク ファイアウォール ポリシーを削除する前に、すべての関連付けを削除する必要があります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
削除するポリシーをクリックします。
[関連付け] タブをクリックします。
すべての関連付けを選択します。
[関連付けを削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ポリシーを削除するには、次のコマンドを使用します。
gcloud compute network-firewall-policies delete POLICY_NAME \
--region=REGION_NAME
ファイアウォール ポリシー ルールのタスク
このセクションでは、リージョン ネットワーク ファイアウォール ポリシー ルールを作成して管理する方法について説明します。
ルールの作成
リージョン ネットワーク ファイアウォール ポリシーの各ルールは、一意の優先度を持つ上り(内向き)ルールまたは下り(外向き)ルールです。有効な送信元と宛先の組み合わせなど、ルールの他のパラメータの詳細については、ファイアウォール ポリシー ルールをご覧ください。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
リージョン ポリシーの名前をクリックします。
[ファイアウォール ルール] で [ファイアウォール ルールを作成] をクリックします。
ルール フィールドに、次の内容を入力します。
- 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切る(100、200、300など)ことをおすすめします。 - ログの収集を [オン] または [オフ] に設定します。
- [トラフィックの方向] には、上り(内向き)と下り(外向き)のいずれかを選択します。
- [一致したときのアクション] で、ルールに一致した接続を許可する(許可)または拒否する(拒否)かどうか、または接続の評価を、階層内で次に低いファイアウォール ルールに渡すかどうかを指定します(次に移動)。
ルールの [ターゲット] を指定します。
- ネットワーク内のすべてのインスタンスにルールを適用する場合は、[すべてに適用] を選択します。
- 関連付けられたサービス アカウントを使用して一部のインスタンスにルールを適用する場合は、[サービス アカウント] を選択し、[サービス アカウントのスコープ] でサービス アカウントが現在のプロジェクトにあるか、別のプロジェクトにあるかを示します。その後、[ターゲット サービス アカウント] フィールドでサービス アカウント名を選択するか入力します。
セキュアタグを使用して一部のインスタンスにルールを適用する場合は、[セキュアタグ] を選択します。
- [タグのスコープを選択] をクリックし、セキュアタグの Key-Value ペアを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。
- Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
上り(内向き)ルールの場合、送信元ネットワーク タイプを指定します。
- ネットワーク タイプに属する受信トラフィックをフィルタするには、[すべてのネットワーク タイプ] を選択します。
- 特定のネットワーク タイプに属する受信トラフィックをフィルタするには、[特定のネットワーク タイプ] を選択します。
- インターネット(
INTERNET)ネットワーク タイプに属する受信トラフィックをフィルタするには、[インターネット] を選択します。 - インターネット以外の(
NON-INTERNET)ネットワーク タイプに属する受信トラフィックをフィルタするには、[インターネット以外] を選択します。 - VPC 内(
INTRA_VPC)ネットワーク タイプに属する上り(内向き)トラフィックをフィルタするには、[VPC 内] を選択します。 - VPC ネットワーク(
VPC_NETWORKS)タイプの着信トラフィックをフィルタするには、[VPC ネットワーク] を選択し、次のボタンを使用して 1 つ以上のネットワークを指定します。- 現在のプロジェクトを選択: 現在のプロジェクトから 1 つ以上のネットワークを追加できます。
- ネットワークを手動で入力: プロジェクトとネットワークを手動で入力できます。
- プロジェクトを選択: ネットワークを選択できるプロジェクトを選択できます。ネットワーク タイプの詳細については、ネットワーク タイプをご覧ください。
- インターネット(
下り(外向き)ルールの場合は、宛先ネットワーク タイプを指定します。
- 任意のネットワーク タイプに属する送信トラフィックをフィルタするには、[すべてのネットワーク タイプ] を選択します。
- 特定のネットワーク タイプに属する送信トラフィックをフィルタするには、[特定のネットワーク タイプ] を選択します。
- インターネット(
INTERNET)ネットワーク タイプに属する送信トラフィックをフィルタするには、[インターネット] を選択します。 - インターネット以外の(
NON-INTERNET)ネットワーク タイプに属する送信トラフィックをフィルタするには、[インターネット以外] を選択します。ネットワーク タイプの詳細については、ネットワーク タイプをご覧ください。
- インターネット(
上り(内向き)ルールの場合、送信元フィルタを指定します。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で受信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。 安全なタグで送信元を制限するには、[安全なタグ] セクションの [タグのスコープを選択] をクリックします。
- タグを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。
- Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
下り(外向き)ルールの場合は、送信先フィルタを指定します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、
::/0を使用します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
(省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の FQDN を指定します。下り(外向き)ルールを作成する場合は、このルールを適用する宛先の FQDN を選択します。ドメイン名オブジェクトの詳細については、ドメイン名オブジェクトをご覧ください。
(省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の位置情報を選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の位置情報を選択します。位置情報オブジェクトの詳細については、位置情報オブジェクトをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元アドレス グループを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先アドレス グループを選択します。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の Google Cloud 脅威インテリジェンスのリストを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の Google Cloud 脅威インテリジェンスのリストを選択します。Google Threat Intelligence の詳細については、ファイアウォール ポリシールールの Google Threat Intelligence をご覧ください。
省略可: 上り(内向き)ルールの場合、送信先フィルタを指定します。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 受信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6 範囲] を選択し、[送信先 IPv6 範囲] フィールドに CIDR ブロックを入力します。任意の IPv6 送信先の場合は、
::/0を使用します。詳細については、上り(内向き)ルールの送信先をご覧ください。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
省略可: 下り(外向き)ルールの場合は、[送信元] フィルタを指定します。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で送信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IPv6 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。詳細については、下り(外向き)ルールの送信元をご覧ください。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
[プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。
[作成] をクリックします。
- 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
[ファイアウォール ルールを作成] をクリックして、別のルールを追加します。
gcloud
上り(内向き)ルールを作成するには、次のコマンドを使用します。
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
次のように置き換えます。
PRIORITY: ポリシー内のルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は0)。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします(100、200、300など)。POLICY_NAME: 新しいルールを含むリージョン ネットワーク ファイアウォール ポリシーの名前。POLICY_REGION: 新しいルールを含むポリシーのリージョン。DESCRIPTION: 新しいルールの説明(省略可)ACTION: 次のいずれかのアクションを指定します。allow: ルールに一致する接続を許可します。deny: ルールに一致する接続を拒否します。goto_next: ファイアウォール ルールの評価プロセスの次のステップに進みます。
--enable-loggingパラメータと--no-enable-loggingパラメータは、ファイアウォール ルール ロギングを有効または無効にします。--disabledパラメータと--no-disabledパラメータは、ルールが無効(適用されない)か有効(適用される)かを制御します。- ターゲットを指定します。
TARGET_SECURE_TAGS: セキュアタグのカンマ区切りリスト。TARGET_SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りリスト。--target-secure-tagsパラメータと--target-service-accountsパラメータの両方を省略すると、ルールは最も広範なターゲットに適用されます。
LAYER_4_CONFIGS: レイヤ 4 構成のカンマ区切りリスト。各レイヤ 4 構成は次のいずれかになります。- 宛先ポートのない IP プロトコル名(
tcp)または IANA IP プロトコル番号(17)。 - IP プロトコル名と宛先ポートをコロン(
tcp:80)で区切ったもの。 - IP プロトコル名と宛先ポートの範囲。コロンで区切り、宛先ポートの開始と終了をダッシュで区切ります(
tcp:5000-6000)。詳細については、プロトコルとポートをご覧ください。
- 宛先ポートのない IP プロトコル名(
- 上り(内向き)ルールのソースを指定します。
SRC_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。SRC_ADDRESS_GROUPS: 一意の URL 識別子で指定されたアドレス グループのカンマ区切りリスト。リスト内のアドレス グループには、すべての IPv4 アドレスまたはすべての IPv6 アドレスを含める必要があります。両方を組み合わせることはできません。SRC_DOMAIN_NAMES: ドメイン名の形式で指定された FQDN オブジェクトのカンマ区切りリスト。SRC_SECURE_TAGS: タグのカンマ区切りリスト。--src-network-typeがINTERNETの場合、--src-secure-tagsパラメータは使用できません。SRC_COUNTRY_CODES: 2 文字の国コードのカンマ区切りリスト。詳しくは、位置情報オブジェクトをご覧ください。--src-network-typeがNON_INTERNET、VPC_NETWORK、INTRA_VPCの場合、--src-region-codesパラメータは使用できません。SRC_THREAT_LIST_NAMES: Google Threat Intelligence リストの名前のカンマ区切りリスト。詳細については、ファイアウォール ポリシー ルールの Google 脅威インテリジェンスをご覧ください。--src-network-typeがNON_INTERNET、VPC_NETWORK、INTRA_VPCの場合、--src-threat-intelligenceパラメータは使用できません。SRC_NETWORK_TYPE: 特定の宛先の組み合わせを生成するために、サポートされている別の宛先パラメータと組み合わせて使用するソース ネットワーク タイプを定義します。有効な値はINTERNET、NON_INTERNET、VPC_NETWORK、INTRA_VPCです。詳細については、ネットワーク タイプをご覧ください。SRC_VPC_NETWORK: URL 識別子で指定された VPC ネットワークのカンマ区切りリスト。このパラメータは、--src-network-typeがVPC_NETWORKSの場合にのみ指定します。
- 必要に応じて、上り(内向き)ルールの宛先を指定します。
DEST_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。
下り(外向き)ルールを作成するには、次のコマンドを使用します。
gcloud compute network-firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=POLICY_REGION \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
次のように置き換えます。
PRIORITY: ポリシー内のルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は0)。優先度はルールごとに一意である必要があります。後で既存のルールの間に新しいルールを作成できるように、ルールの優先度の値は 1 より大きい差で区切ることをおすすめします(100、200、300など)。POLICY_NAME: 新しいルールを含むリージョン ネットワーク ファイアウォール ポリシーの名前。POLICY_REGION: 新しいルールを含むポリシーのリージョン。DESCRIPTION: 新しいルールの説明(省略可)ACTION: 次のいずれかのアクションを指定します。allow: ルールに一致する接続を許可します。deny: ルールに一致する接続を拒否します。goto_next: ファイアウォール ルールの評価プロセスの次のステップに進みます。
--enable-loggingパラメータと--no-enable-loggingパラメータは、ファイアウォール ルール ロギングを有効または無効にします。--disabledパラメータと--no-disabledパラメータは、ルールが無効(適用されない)か有効(適用される)かを制御します。- ターゲットを指定します。
TARGET_SECURE_TAGS: セキュアタグのカンマ区切りリスト。TARGET_SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りリスト。--target-secure-tagsパラメータと--target-service-accountsパラメータの両方を省略すると、ルールは最も広範なターゲットに適用されます。
LAYER_4_CONFIGS: レイヤ 4 構成のカンマ区切りリスト。各レイヤ 4 構成は次のいずれかになります。- 宛先ポートのない IP プロトコル名(
tcp)または IANA IP プロトコル番号(17)。 - IP プロトコル名と宛先ポートをコロン(
tcp:80)で区切ったもの。 - IP プロトコル名と宛先ポートの範囲。コロンで区切り、宛先ポートの開始と終了をダッシュで区切ります(
tcp:5000-6000)。詳細については、プロトコルとポートをご覧ください。
- 宛先ポートのない IP プロトコル名(
- 必要に応じて、下り(外向き)ルールの送信元を指定します。
SRC_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲はすべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があり、両方を組み合わせることはできません。
- 下り(外向き)ルールの送信先を指定します。
DEST_IP_RANGES: CIDR 形式の IP アドレス範囲のカンマ区切りリスト。リスト内の範囲は、すべて IPv4 CIDR または IPv6 CIDR のいずれかである必要があります。両方を組み合わせることはできません。DEST_ADDRESS_GROUPS: 一意の URL 識別子で指定されたアドレス グループのカンマ区切りリスト。DEST_DOMAIN_NAMES: ドメイン名の形式で指定された FQDN オブジェクトのカンマ区切りリスト。DEST_COUNTRY_CODES: 2 文字の国コードのカンマ区切りリスト。詳しくは、位置情報オブジェクトをご覧ください。DEST_THREAT_LIST_NAMES: Google Threat Intelligence リストの名前のカンマ区切りリスト。詳細については、ファイアウォール ポリシールールの Google Threat Intelligence をご覧ください。DEST_NETWORK_TYPE: 特定の宛先の組み合わせを生成するために、別のサポートされている宛先パラメータと組み合わせて使用する宛先ネットワーク タイプを定義します。有効な値はINTERNETとNON_INTERNETです。詳細については、ネットワーク タイプをご覧ください。
ルールを更新する
フラグの説明については、ルールを作成するをご覧ください。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
[編集] をクリックします。
変更するフラグを変更します。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME \
[...flags you want to modify...]
ルールの説明を取得する
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
次のように置き換えます。
PRIORITY: ルールを一意に識別する優先度番号POLICY_NAME: ルールを含むポリシーの名前REGION_NAME: ルールを含むポリシーのリージョン
ルールを削除する
ポリシーからルールを削除すると、ルールのターゲットとの間の新しい接続にルールが適用されなくなります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
削除するルールを選択します。
[削除] をクリックします。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
次のように置き換えます。
PRIORITY: ルールを一意に識別する優先度番号POLICY_NAME: そのルールを含むポリシーREGION_NAME: ルールを含むポリシーのリージョン
ポリシー間でルールのクローンを作成する
クローン作成では、ソースポリシーからターゲット ポリシーにルールがコピーされ、ターゲット ポリシーの既存のルールがすべて置き換えられます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ルールのコピー元ポリシーをクリックします。
画面の上部の [クローン] をクリックします。
ターゲット ポリシーの名前を指定します。
新しいポリシーをすぐに関連付ける場合は、[続行] > [関連付け] をクリックします。
[ポリシーと VPC ネットワークの関連付け] ページで、ネットワークを選択して [関連付け] をクリックします。
[続行] をクリックします。
[クローン] をクリックします。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--region=TARGET_POLICY_REGION \
--source-firewall-policy SOURCE_POLICY
次のように置き換えます。
TARGET_POLICY: ターゲット ポリシーの名前TARGET_POLICY_REGION: ターゲット ポリシーのリージョンSOURCE_POLICY: ソースポリシーの URL
ネットワークのリージョンで有効なファイアウォール ルールを取得する
VPC ネットワークの特定のリージョンに適用されるすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルール、リージョン ネットワーク ファイアウォール ポリシー ルールを表示できます。
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
次のように置き換えます。
REGION_NAME: 有効なルールを表示するリージョン。NETWORK_NAME: 有効なルールを表示するネットワーク。