一般ユーザー向けサービスを設定する

このページでは、サービス ユーザーがプロデューサーのパケット検査サービスにトラフィックを送信するために必要な手順について説明します。

始める前に

  1. Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. プロジェクトに次の Identity and Access Management(IAM)ロールがあることを確認します。

  7. Compute Engine API と Network Security API を有効にします。

    API を有効にするために必要なロール

    API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。

    API を有効にする

  8. Google Cloud CLI をインストールします。詳細については、gcloud CLI の概要をご覧ください。

    注: Google Cloud CLI を初めて実行する場合は、gcloud init コマンドを実行して gcloud CLI ディレクトリを初期化します。

  9. プロデューサーに接続するには、次の詳細情報を取得します。
    • インターセプト デプロイ グループの名前。
    • インターセプト デプロイ グループがアクティブなゾーンのリスト。
    • プロデューサーのプロジェクトに対する インターセプト デプロイ ユーザーロールroles/networksecurity.interceptDeploymentUser)。

ネットワークを準備する

1 つ以上の VPC ネットワークがプロデューサーのパケット検査サービスにトラフィックを送信できるようにするには、次の操作を行います。

  1. VPC ネットワークを特定し、ファイアウォール ポリシーの適用順序を設定します。

    プロデューサーのパケット インターセプト オファリングを使用する VPC ネットワークを特定します。ネットワークが特定されたら、各ネットワークのファイアウォール ポリシーとルールの適用順序BEFORE_CLASSIC_FIREWALL に設定します。

    BEFORE_CLASSIC_FIREWALL 適用順序により、トラフィックのインターセプトに使用する階層型ファイアウォール ポリシー ルールとグローバル ファイアウォール ポリシー ルールが VPC ファイアウォール ルールの前に評価されます。デフォルトの AFTER_CLASSIC_FIREWALL 順序を使用すると、VPC ファイアウォール ルールが優先され、トラフィックが検査のためにインターセプトされる前にドロップされる可能性があります。

  2. VM を含むゾーン マネージド インスタンス グループまたはゾーン非マネージド インスタンス グループを作成します。

    可能であれば、マネージド インスタンス グループを使用することをおすすめします。マネージド インスタンス グループを選択した場合は、ゾーン マネージド インスタンス グループを使用する必要があります。詳細については、シングルゾーンに MIG を作成するをご覧ください。

インバンド リソースを構成する

プロデューサーのパケット検査サービスを使用するには、次のリソースを作成します。

  1. プロジェクトにインターセプト エンドポイント グループとインターセプト エンドポイント グループの関連付け を作成します。詳細については、インターセプト エンドポイント グループの作成と管理をご覧ください。

    コンシューマーは、インターセプト エンドポイント グループとインターセプト エンドポイント グループの関連付けを使用して、1 つ以上のコンシューマー VPC ネットワークで使用するプロデューサーのパケット インターセプト オファリングを選択します。

    インターセプト エンドポイント グループとインターセプト エンドポイント グループの関連付けを構成する場合は、次の点を考慮してください。

    • コンシューマー VPC ネットワークと対応するインターセプト エンドポイント グループの関連付けは、同じプロジェクト内に存在する必要があります。
    • エンドポイント グループの関連付けで参照されるインターセプト エンドポイント グループは、コンシューマーの組織の任意のプロジェクトに配置できます。

  2. 組織にセキュリティ プロファイルセキュリティ プロファイル グループを作成します。カスタム インターセプト セキュリティ プロファイルの作成方法については、カスタム インターセプト セキュリティ プロファイルを作成するセキュリティ プロファイル グループの作成と管理をご覧ください。

    セキュリティ プロファイルとセキュリティ プロファイル グループを使用すると、階層型ファイアウォール ポリシーまたはグローバル ネットワーク ファイアウォール ポリシーのルールでプロデューサーのパケット インターセプト オファリングを使用できます。ファイアウォール ポリシーのルールは、セキュリティ プロファイル グループを参照し、apply_security_profile_group アクションを使用して、プロデューサーのパケット検査サービスにパケットを送信します。

  3. ファイアウォール ポリシーを構成し、パケット検査のトラフィックを転送するファイアウォール ルールを追加します。詳細については、ファイアウォール ルールの作成と管理をご覧ください。

    トラフィックをパケット検査に転送するルールには、次のすべての特性が必要です。

    • ファイアウォール ポリシー ルールのアクションapply_security_profile_group である必要があります。

    • ファイアウォール ポリシー ルールは、前の手順で構成したセキュリティ プロファイルを含むセキュリティ プロファイル グループを参照する必要があります。

      セキュリティ プロファイルは、ルールを適用する必要がある VPC ネットワークに関連付けられている同じインターセプト エンドポイント グループを参照する必要があります。

    • ルールを含むファイアウォール ポリシーは、ルールを適用する必要がある VPC ネットワークに関連付けられている必要があります。この関連付けを作成する方法は、ポリシーのタイプによって異なります。

      • ルールがグローバル ネットワーク ファイアウォール ポリシーにある場合、そのポリシーは、ルールを適用する必要がある VPC ネットワークに関連付けられている必要があります。

      • ルールが階層型ネットワーク ファイアウォール ポリシーにある場合、ファイアウォール ポリシーは、ルールを適用する必要がある VPC ネットワークを含むフォルダまたは組織に関連付けられている必要があります。また、ルールのターゲットがネットワーク リソースの場合、ターゲットにはルールを適用する必要がある VPC ネットワークが含まれている必要があります。

      ファイアウォール ルールのパラメータの詳細については、ファイアウォール ポリシー ルールのコンポーネントをご覧ください。

  4. プロデューサーのパケット検査を使用する VPC ネットワークにファイアウォール ポリシーを関連付けます。

    詳細については、ネットワーク ファイアウォール ポリシーを関連付けるをご覧ください。

ファイアウォール ポリシーを関連付けてファイアウォール ルールを構成すると、ネットワーク トラフィックはプロデューサーのインターセプト デプロイ グループにリダイレクトされます。

次のステップ