このページは、リージョン ネットワーク ファイアウォール ポリシーの概要で説明されているコンセプトを理解していることを前提としています。
ファイアウォール ポリシーのタスク
このセクションでは、リージョン ネットワーク ファイアウォール ポリシーとそのルールを作成、関連付け、管理する方法について説明します。
リージョン ネットワーク ファイアウォール ポリシーを作成する
Google Cloud プロジェクト内の任意の Virtual Private Cloud(VPC)ネットワークにポリシーを作成できます。ポリシーを作成したら、プロジェクト内の任意の VPC ネットワークに関連付けることができます。関連付けが終わると、関連するネットワークでポリシーのルールが有効になります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのメニューで、組織内のプロジェクトを選択します。
[ファイアウォール ポリシーを作成] をクリックします。
[Name] フィールドに、ポリシー名を入力します。
[デプロイのスコープ] で [リージョン] を選択します。このファイアウォール ポリシーを作成するリージョンを選択します。
ポリシーのルールを作成する場合は、[続行] をクリックしてから、[ルールを追加] をクリックします。
詳細については、ネットワーク ファイアウォール ルールを作成するをご覧ください。
ポリシーを VPC ネットワークに関連付けるには、[続行] をクリックしてから [関連付け] をクリックします。
詳細については、ポリシーをネットワークに関連付けるをご覧ください。
[作成] をクリックします。
gcloud
gcloud compute network-firewall-policies create \
NETWORK_FIREWALL_POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
次のように置き換えます。
NETWORK_FIREWALL_POLICY_NAME: ポリシーの名前DESCRIPTION: ポリシーの説明REGION_NAME: ポリシーのリージョン
ポリシーをネットワークに関連付ける
リージョン ネットワーク ファイアウォール ポリシーを VPC ネットワークのリージョンに関連付け、ポリシーのルールをそのネットワーク リージョンに適用できます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
[関連付けを追加] をクリックします。
プロジェクト内のネットワークを選択します。
[関連付け] をクリックします。
gcloud
gcloud compute network-firewall-policies associations create \
--firewall-policy POLICY_NAME \
--network NETWORK_NAME \
--name ASSOCIATION_NAME \
--firewall-policy-region=REGION_NAME
次のように置き換えます。
POLICY_NAME: ポリシーの略称またはシステムによって生成された名前。NETWORK_NAME: 関連付けられたネットワークの名前。ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前はnetwork-NETWORK_NAMEに設定されます。REGION_NAME: ポリシーのリージョン。
リージョン ネットワーク ファイアウォール ポリシーの情報を取得する
ポリシーの説明を取得すると、次の詳細を確認できます。
- ポリシーの詳細
- ファイアウォール ルールとポリシーごとのルール属性。
- 既存の VPC ネットワーク関連付けの優先度
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、リージョン ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--region=REGION_NAME
リージョン ネットワーク ファイアウォール ポリシーの説明を更新する
更新できるポリシー フィールドは [説明] フィールドのみです。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、リージョン ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[編集] をクリックします。
[説明] フィールドで、説明を変更します。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--region=REGION_NAME
リージョン ネットワーク ファイアウォール ポリシーを一覧表示する
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
[ネットワーク ファイアウォール ポリシー] セクションに、プロジェクトで使用可能なポリシーが表示されます。
gcloud
gcloud compute network-firewall-policies list \
--regions=LIST_OF_REGIONS
リージョン ネットワーク ファイアウォール ポリシーを削除する
ネットワーク ファイアウォール ポリシーを削除する前に、すべての関連付けを削除する必要があります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
削除するポリシーをクリックします。
[関連付け] タブをクリックします。
すべての関連付けを選択します。
[関連付けを削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ファイアウォール ポリシーに関連付けられているすべてのネットワークを一覧表示します。
gcloud compute network-firewall-policies describe POLICY_NAME \ --region=REGION_NAME個々の関連付けを削除します。関連付けを削除するには、関連する Virtual Private Cloud(VPC)ネットワークに対する Compute セキュリティ管理者ロール(
roles/compute.SecurityAdmin)が必要です。gcloud compute network-firewall-policies associations delete \ --network-firewall-policy POLICY_NAME \ --firewall-policy-region=REGION_NAMEポリシーを削除します。
gcloud compute network-firewall-policies delete POLICY_NAME \ --region=REGION_NAME
関連付けを削除する
ネットワークのファイアウォール ポリシーの適用を停止するには、関連付けを削除します。
ただし、セキュリティ ポリシーを別のファイアウォール ポリシーに入れ替える場合は、最初に既存の関連付けを削除する必要はありません。この関連付けを削除すると、どちらのポリシーも適用されない期間が発生します。代わりに、新しいポリシーを関連付ける際は、既存のポリシーを置き換えます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、プロジェクトまたはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
削除する関連付けを選択します。
[関連付けを削除] をクリックします。
gcloud
gcloud compute network-firewall-policies associations delete \
--name ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--firewall-policy-region REGION_NAME
ファイアウォール ポリシー ルールのタスク
ネットワーク ファイアウォール ルールを作成する
ネットワーク ファイアウォール ポリシー ルールは、リージョン ネットワーク ファイアウォール ポリシーで作成する必要があります。含まれるポリシーを VPC ネットワークに関連付けるまで、ルールは有効になりません。
各ネットワーク ファイアウォール ポリシー ルールには、IPv4 または IPv6 の範囲のいずれかを含めることができます。両方を含めることはできません。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
リージョン ポリシーの名前をクリックします。
[ファイアウォール ルール] で [作成] をクリックします。
ルール フィールドに、次の内容を入力します。
- 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100、200、300など)。 - ログの収集を [オン] または [オフ] に設定します。
- [トラフィックの方向] には、上り(内向き)と下り(外向き)のいずれかを選択します。
- [一致したときのアクション] で、ルールに一致した接続を許可する(許可)または拒否する(拒否)かどうか、または接続の評価を、階層内で次に低いファイアウォール ルールに渡すかどうかを指定します(次に移動)。
- ルールの [ターゲット] を指定します。
- ネットワーク内のすべてのインスタンスにルールを適用する場合は、[ネットワーク上のすべてのインスタンス] を選択します。
- タグを使用して一部のインスタンスにルールを適用する場合は、[セキュアタグ] を選択します。[スコープの選択] をクリックし、タグ Key-Value ペアを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
- 関連するサービス アカウントを使用して一部のインスタンスにルールを適用する場合は、サービス アカウントを選択して、[サービス アカウントのスコープ] でサービス アカウントのある場所を現在のプロジェクトまたは別のプロジェクトと指定します。続いて、[ターゲット サービス アカウント] フィールドでサービス アカウント名を選択するか入力します。
上り(内向き)ルールの場合、送信元フィルタを指定します。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で受信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。 - タグで送信元を制限するには、[タグ] セクションの [スコープを選択] をクリックします。タグを作成する組織またはプロジェクトを選択します。ルールを適用する Key-Value ペアを入力します。Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
下り(外向き)ルールの場合は、送信先フィルタを指定します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、
::/0を使用します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
(省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の FQDN を指定します。下り(外向き)ルールを作成する場合は、このルールを適用する宛先の FQDN を選択します。ドメイン名オブジェクトの詳細については、ドメイン名オブジェクトをご覧ください。
(省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の位置情報を選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の位置情報を選択します。位置情報オブジェクトの詳細については、位置情報オブジェクトをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元アドレス グループを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先アドレス グループを選択します。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の Google Cloud 脅威インテリジェンスのリストを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の Google Cloud 脅威インテリジェンスのリストを選択します。Google Threat Intelligence の詳細については、ファイアウォール ポリシールールの Google Threat Intelligence をご覧ください。
省略可: 上り(内向き)ルールの場合、送信先フィルタを指定します。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 受信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6 範囲] を選択し、[送信先 IPv6 範囲] フィールドに CIDR ブロックを入力します。任意の IPv6 送信先の場合は、
::/0を使用します。詳細については、上り(内向き)ルールの送信先をご覧ください。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
省略可: 下り(外向き)ルールの場合は、[送信元] フィルタを指定します。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で送信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。詳細については、下り(外向き)ルールの送信元をご覧ください。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
[プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。
[作成] をクリックします。
- 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
[ルールを追加] をクリックして別のルールを追加します。[続行] > [ポリシーと VPC ネットワークの関連付け] をクリックしてポリシーをネットワークに関連付けるか、[作成] をクリックしてポリシーを作成します。
gcloud
gcloud compute network-firewall-policies rules create PRIORITY \
--action ACTION \
--firewall-policy POLICY_NAME \
[--description DESCRIPTION ] \
[--layer4-configs PROTOCOL_PORT] \
[--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
[--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
[--direction DIRECTION] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK[,SRC_VPC_NETWORK,...]] \
[--dest-network-type DEST_NETWORK_TYPE] \
[--src-ip-ranges IP_RANGES] \
[--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
[--dest-ip-ranges IP_RANGES] \
[--src-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
[--dest-region-codes COUNTRY_CODE[,COUNTRY_CODE,...]] \
[--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
[--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
[--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
[--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
--firewall-policy-region=REGION_NAME
次のように置き換えます。
PRIORITY: ルールの数値評価順序ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100、200、300など)。ACTION: 次のいずれかのアクション:allow: ルールに一致する接続を許可します。deny: ルールに一致する接続を拒否します。goto_next: 評価順序の次のポリシーに移動します。VPC ネットワークに複数のリージョン ネットワーク ファイアウォール ポリシーが関連付けられている場合、評価はこれらのリージョン ポリシー内の評価順序で次のポリシーに移動します。
たとえば、2 つのリージョン ネットワーク ファイアウォール ポリシーが VPC ネットワークに関連付けられており、優先度の高いポリシーが
goto_nextを使用している場合、評価は優先度の低いリージョン ポリシーに移動し、VPC ファイアウォール ルールとグローバル ネットワーク ポリシーはスキップされます。
POLICY_NAME: ネットワーク ファイアウォール ポリシーの名前PROTOCOL_PORT: プロトコル名または番号(tcp,17)、プロトコルと宛先ポート(tcp:80)、プロトコルと宛先ポートの範囲(tcp:5000-6000)のカンマ区切りリスト。プロトコルなしでは、ポートまたはポート範囲を指定することはできません。 ICMP の場合、ポートまたはポート範囲を指定できません。例:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp詳細については、プロトコルとポートをご覧ください。
SERVICE_ACCOUNT: ターゲットを定義するサービス アカウントのカンマ区切りリストDIRECTION: ルールがINGRESSルールまたはEGRESSルールのどちらであるかを示します。デフォルトはINGRESSです。- トラフィックの送信元の IP 範囲を指定するには、
--src-ip-rangesを含めます。 - トラフィックの宛先の IP 範囲を指定するには、
--dest-ip-rangesを含めます。
- トラフィックの送信元の IP 範囲を指定するには、
SRC_NETWORK_TYPE: 上り(内向き)ルールが適用される送信元ネットワーク トラフィックのタイプを示します。この引数は、次のいずれかの値に設定できます。INTERNETNON_INTERNETVPC_NETWORKSINTRA_VPC
この引数の値をクリアするには、空の文字列を使用します。値が空の場合、すべてのネットワーク タイプを示します。詳細については、ネットワーク タイプをご覧ください。
SRC_VPC_NETWORK: VPC ネットワークのカンマ区切りのリスト--src-networksは、--src-network-typeがVPC_NETWORKSに設定されている場合にのみ使用できます。DEST_NETWORK_TYPE: 下り(外向き)ルールが適用される宛先ネットワーク トラフィックのタイプを示します。この引数は、次のいずれかの値に設定できます。INTERNETNON_INTERNET
この引数の値をクリアするには、空の文字列を使用します。値が空の場合、すべてのネットワーク タイプを示します。詳細については、ネットワーク タイプをご覧ください。
IP_RANGES: CIDR 形式の IP 範囲のカンマ区切りリスト(すべての IPv4 範囲またはすべての IPv6 範囲)。例:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96SRC_SECURE_TAG: タグのカンマ区切りリスト。ネットワーク タイプが
INTERNETに設定されている場合、ソース セキュアタグは使用できません。COUNTRY_CODE: 2 文字の国コードのカンマ区切りリスト- 上り(内向き)方向の場合は、
--src-region-codeフラグで送信元の国コードを指定します。下り(外向き)方向には--src-region-codeフラグを使用できません。また、--src-network-typeがNON_INTERNET、VPC_NETWORK、INTRA_VPCに設定されている場合も使用できません。 - 下り(外向き)方向の場合は
--dest-region-codeフラグで宛先の国コードを指定します。上り(内向き)方向の場合、--dest-region-codeフラグは使用できません。
- 上り(内向き)方向の場合は、
LIST_NAMES: Google 脅威インテリジェンス リストの名前のカンマ区切りのリスト- 上り(内向き)方向の場合は、
--src-threat-intelligenceフラグで送信元の Google Threat Intelligence リストを指定します。下り(外向き)方向には--src-threat-intelligenceフラグを使用できません。また、--src-network-typeがNON_INTERNET、VPC_NETWORK、INTRA_VPCに設定されている場合も使用できません。 - 下り(外向き)方向の場合、
--dest-threat-intelligenceフラグで宛先の Google Threat Intelligence リストを指定します。上り(内向き)方向の場合、--dest-threat-intelligenceフラグは使用できません。
- 上り(内向き)方向の場合は、
ADDR_GRP_URL: アドレス グループの一意の URL 識別子- 上り(内向き)方向の場合は
--src-address-groupsフラグで送信元のアドレス グループを指定します。下り(外向き)方向の場合、--src-address-groupsフラグは使用できません。 - 下り(外向き)方向の場合は
--dest-address-groupsフラグで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-address-groupsフラグは使用できません。
- 上り(内向き)方向の場合は
DOMAIN_NAME: ドメイン名のカンマ区切りリスト。ドメイン名の形式で説明されている形式で指定します。- 上り(内向き)方向については、
--src-fqdnsフラグでソースのドメイン名を指定します。下り(外向き)方向には--src-fqdnsフラグを使用できません。 - 下り(外向き)方向の場合は
--dest-fqdnsフラグで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-fqdnsフラグは使用できません。
- 上り(内向き)方向については、
--enable-logging、--no-enable-logging: 指定されたルールに対してファイアウォール ルールロギングを有効または無効にします。--disabled: ファイアウォール ルールが存在しても、接続の処理時に考慮されないファイアウォール ルールを示します。このフラグを省略すると、ルールが有効になります。または、--no-disabledを指定します。REGION_NAME: ポリシーを適用するリージョン
ルールを更新する
フィールドの説明については、ネットワーク ファイアウォール ルールを作成するをご覧ください。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
[編集] をクリックします。
変更対象のフィールドに修正を加えます。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME \
[...fields you want to modify...]
ルールの説明を取得する
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
次のように置き換えます。
PRIORITY: 表示するルールの優先度。各ルールの優先度は異なるため、この設定はルールによって一意に識別されます。POLICY_NAME: ルールを含むポリシーの名前REGION_NAME: ポリシーを適用するリージョン。
ポリシーからルールを削除する
ポリシーからルールを削除すると、ルールのターゲットとの間の新しい接続にルールが適用されなくなります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
削除するルールを選択します。
[削除] をクリックします。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy POLICY_NAME \
--firewall-policy-region=REGION_NAME
次のように置き換えます。
PRIORITY: ポリシーから削除するルールの優先度POLICY_NAME: そのルールを含むポリシーREGION_NAME: ポリシーを適用するリージョン
ポリシー間でルールのクローンを作成する
ターゲット ポリシーからすべてのルールを削除し、ソースポリシーのルールで置き換えます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ルールのコピー元ポリシーをクリックします。
画面の上部の [クローン] をクリックします。
ターゲット ポリシーの名前を指定します。
新しいポリシーをすぐに関連付けるには、[続行] > [ネットワーク ポリシーをリソースに関連付ける] をクリックします。
[クローン] をクリックします。
gcloud
gcloud compute network-firewall-policies clone-rules POLICY_NAME \
--source-firewall-policy SOURCE_POLICY \
--region=REGION_NAME
次のように置き換えます。
POLICY_NAME: コピーされたルールを受け取るポリシーSOURCE_POLICY: ルールのコピー元のポリシー。リソースの URL で指定する必要がありますREGION_NAME: ポリシーを適用するリージョン
有効なリージョン ネットワーク ファイアウォール ポリシーを取得する
次のコマンドを使用すると、VPC ネットワークのリージョンに適用されるすべてのファイアウォール ルールを表示できます。このコマンドは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシー、VPC ファイアウォール ルールから取得されたルールを表示します。
gcloud
gcloud compute network-firewall-policies get-effective-firewalls \
--region=REGION_NAME \
--network=NETWORK_NAME
次のように置き換えます。
REGION_NAME: 有効なルールを表示するリージョン。NETWORK_NAME: 有効なルールを表示するネットワーク。