プロデューサー / コンシューマーモデルのアウトオブバンド統合を設定する

Network Security Integration は、プロデューサー / コンシューマーモデルを使用してデータを検査およびモニタリングします。パケットミラーリングテクノロジーとのアウトオブバンド統合を使用して、ユーザー管理の仮想アプライアンスを使用してネットワークトラフィックをミラーリングします。

このチュートリアルでは、帯域外統合を設定するためにプロデューサーリソースとコンシューマーリソースを作成して構成する方法について説明します。

目標

このチュートリアルでは、プロジェクトで次のタスクを行う方法について説明します。

同じプロジェクトに、プロデューサーとコンシューマーのサブネットを含むカスタム Virtual Private Cloud（VPC）ネットワークを作成します。
プロデューサーの場合は、プロデューサーリソースとミラーリングデプロイリソースを作成して構成します。プロデューサーリソースの例としては、内部パススルーネットワークロードバランサがあります。
コンシューマーの場合、クライアントとサーバーの仮想マシン（VM）インスタンス、ミラーリングエンドポイントリソース、クライアントサーバートラフィックをミラーリングするファイアウォールポリシーを作成して構成します。
接続をテストし、コンシューマー VM からのネットワークトラフィックパケットがプロデューサーのミラーリングリソースにミラーリングされていることを確認します。

次の図は、プロデューサー VPC ネットワークとコンシューマー VPC ネットワーク間のトラフィックのフローを示しています。

単一のプロジェクトにおけるプロデューサーコンポーネントとコンシューマーコンポーネントのデプロイアーキテクチャの概要。 — **図 1.** 単一プロジェクト内のプロデューサーコンポーネントとコンシューマーコンポーネントのデプロイアーキテクチャの概要（クリックして拡大）。

上の図は、次のことを示しています。

ミラーリングエンドポイントグループを介してコンシューマーネットワークからプロデューサーネットワークに流れるネットワークトラフィック。
プロデューサーネットワークには、VM インスタンス、内部パススルーネットワークロードバランサ、ミラーリングデプロイが含まれます。
プロデューサーネットワークのミラーリングデプロイグループには、ゾーンミラーリングデプロイが含まれます。
コンシューマーネットワークには、クライアント VM インスタンスとサーバー VM インスタンスが含まれます。コンシューマーネットワーク内のファイアウォールルールとポリシーはトラフィックフローを管理し、セキュリティプロファイルグループはファイアウォールポリシーに関連付けられます。
コンシューマーネットワークはミラーリングエンドポイントグループの関連付けにリンクされ、コンシューマーネットワークがミラーリングエンドポイントグループに接続されます。

始める前に

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

プロジェクトで Compute Engine API を有効にします。
課金に使用する Google Cloud プロジェクトで Network Security API を有効にします。
プロジェクトレベルで Compute ネットワーク管理者ロール（roles/compute.networkAdmin）が付与され、組織レベルでセキュリティプロファイル管理者ロール（roles/networksecurity.securityProfileAdmin）が付与されていることを確認します。
コマンドラインから作業する場合は、Google Cloud CLI をインストールします。ツールのコンセプトとインストールについては、gcloud CLI の概要をご覧ください。
注: Google Cloud CLI を初めて実行する場合は、まず gcloud init を実行して、gcloud CLI ディレクトリを初期化します。
プロジェクトの ID を取得します。ミラーリングとエンドポイントリソースの作成に必要です。gcloud CLI を使用している場合は、ここで PROJECT_ID を置き換えるか、後でそれぞれのコマンドで置き換えることができます。
組織の ID を取得します。セキュリティプロファイルやセキュリティプロファイルグループなどの組織レベルのリソースを作成するには、このロールが必要です。gcloud CLI を使用している場合は、ここで ORG_ID を置き換えるか、後でそれぞれのコマンドで置き換えることができます。

プロデューサーリソースを作成する

このセクションでは、プロデューサー用に次のリソースを作成します。

サブネットを含むカスタム VPC ネットワーク。
受信した Generic Network Virtualization Encapsulation（GENEVE）パケットをロギングする VM インスタンスを含む非マネージドインスタンスグループ。
バックエンドサービスと転送ルールを備えた内部パススルーネットワークロードバランサ。
Google Cloud ヘルスチェックを許可するファイアウォールルール。
ミラーリングデプロイグループとミラーリングデプロイ。

カスタム VPC ネットワークの作成

このセクションでは、サブネットを含む VPC ネットワークを作成します。

コンソール

Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

[VPC ネットワーク] に移動
[ VPC ネットワークを作成] をクリックします。
[名前] に「producer-network」と入力します。
[説明] に「Producer VPC network」と入力します。
[サブネット] セクションで、次の操作を行います。
1. [サブネット作成モード] で [カスタム] を選択します。
2. [新しいサブネット] セクションに、次の情報を入力します。
  - 名前: producer-subnet
  - リージョン: us-west1
  - IP スタックタイプ: IPv4（シングルスタック）
  - IPv4 範囲: 10.10.0.0/16
3. [完了] をクリックします。
[作成] をクリックします。
gcloud CLI を開き、次のコマンドを実行して Google Cloud コンソールネットワークの最大伝送単位（MTU）を増やします。
```
gcloud compute networks update producer-network \
    --mtu=1856
```
このコマンドでは、 Google Cloud コンソールネットワークのデフォルト MTU（1, 460 バイト）と Network Security Integration の Geneve カプセル化オーバーヘッド（396 バイト）の合計である 1, 856 バイトの MTU を指定します。

gcloud

VPC ネットワークを作成します。
```
gcloud compute networks create producer-network \
    --subnet-mode=custom \
    --mtu=1856 \
    --description="Producer VPC network"
```
このコマンドでは、1, 856 バイトの MTU を指定します。これは、 Google Cloud コンソールネットワークのデフォルト MTU（1, 460 バイト）と Network Security Integration の Geneve カプセル化オーバーヘッド（396 バイト）の合計です。

VPC ネットワークにサブネットを作成します。

gcloud compute networks subnets create producer-subnet \
    --network=producer-network \
    --region=us-west1 \
    --range=10.10.0.0/16

非マネージドインスタンスグループを作成する

このセクションでは、非マネージドインスタンスグループを作成します。

コンソール

Google Cloud コンソールで、[インスタンスグループ] ページに移動します。

[インスタンスグループ] に移動
[インスタンスグループを作成] をクリックします。
[新しい非マネージドインスタンスグループ] をクリックします。
[名前] に「producer-instance-group」と入力します。
[ロケーション] セクションで、[リージョン] に us-west1 を選択し、[ゾーン] に us-west1-b を選択します。
[ネットワークとインスタンス] セクションで、次の操作を行います。
1. [ネットワーク] で producer-network を選択します。
2. [サブネットワーク] で、[producer-subnet] を選択します。
[作成] をクリックします。

gcloud

gcloud compute instance-groups unmanaged create producer-instance-group \
    --zone=us-west1-b

ロードバランサコンポーネントを構成する

このセクションでは、バックエンドサービスや転送ルールなど、内部パススルーネットワークロードバランサのコンポーネントを作成します。

コンソール

構成を開始する

Google Cloud コンソールで、[ロードバランシング] ページに移動します。

[ロードバランシング] に移動
[ロードバランサを作成] をクリックします。
[ロードバランサの種類] で [ネットワークロードバランサ（TCP / UDP / SSL）] を選択し、[次へ] をクリックします。
[プロキシまたはパススルー] で [パススルーロードバランサ] を選択し、[次へ] をクリックします。
[インターネット接続または内部] で [内部] を選択し、[次へ] をクリックします。
[構成] をクリックします。

基本構成

[Create internal passthrough Network Load Balancer] ページで、次の情報を入力します。

ロードバランサの名前: producer-ilb
リージョン: us-west1
ネットワーク: producer-network

バックエンドを構成する

[バックエンドの構成] をクリックします。
[プロトコル] で [UDP] を選択します。
[ヘルスチェック] リストから [ヘルスチェックを作成] を選択し、次の情報を入力して [作成] をクリックします。
- 名前: producer-health-check
- 範囲: リージョン
- ポート: 80
- プロキシのプロトコル: NONE
[バックエンド] の [新しいバックエンド] セクションで、[IP スタックタイプ] に [IPv4（シングルスタック）] を選択します。
[インスタンスグループ] で、producer-instance-group インスタンスグループを選択し、[完了] をクリックします。
続行する前に、[バックエンドの構成] の隣に青いチェックマークがあることを確認します。

フロントエンドを構成する

[新しいフロントエンドの IP とポート] セクションで、次の情報を入力して [完了] をクリックします。
1. [名前] に「producer-ilb-fr」と入力します。
2. [サブネットワーク] で、[producer-subnet] を選択します。
3. [ポート] で [単一] を選択し、[ポート番号] に 6081 を入力します。
4. [詳細設定] セクションの [パケットミラーリング] で、[このロードバランサをパケットミラーリング用に有効にする] を選択します。
5. 続行する前に、[フロントエンドの構成] の隣に青いチェックマークがあることを確認します。

構成を確認する

[確認と完了] をクリックします。
ロードバランサの構成を確認します。
[作成] をクリックします。

gcloud

リージョンヘルスチェックを作成します。

gcloud compute health-checks create tcp producer-health-check \
    --region=us-west1 \
    --port=80

バックエンドサービスを作成します。

gcloud compute backend-services create producer-backend-service \
    --protocol=UDP \
    --region=us-west1 \
    --health-checks=producer-health-check \
    --health-checks-region=us-west1 \
    --load-balancing-scheme=INTERNAL

バックエンドサービスの転送ルールを作成します。

gcloud compute forwarding-rules create producer-ilb-fr \
    --backend-service=producer-backend-service \
    --region=us-west1 \
    --network=producer-network \
    --subnet=producer-subnet \
    --ip-protocol=UDP \
    --load-balancing-scheme=INTERNAL \
    --is-mirroring-collector \
    --ports=6081

VM インスタンスを作成してインスタンスグループに追加する

このセクションでは、GENEVE カプセル化パケットのロギングサーバーを設定する起動スクリプトを使用して VM インスタンスを作成します。VM インスタンスを作成する前に、サブネットのゲートウェイの IP アドレスを取得します。起動スクリプトの IP アドレスが必要です。

コンソール

サブネットゲートウェイの IP アドレスを取得する

Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

[VPC ネットワーク] に移動
producer-network VPC ネットワークをクリックします。
[サブネット] タブをクリックします。
[サブネット] セクションで、[ゲートウェイ] 列のゲートウェイ IP アドレスをメモします。

VM インスタンスを作成する

Google Cloud コンソールで、[VM インスタンス] ページに移動します。

VM インスタンスに移動
1. [インスタンスを作成] をクリックします。
2. [名前] に「producer-instance」と入力します。
3. [リージョン] で、us-west1 を選択します。
4. [ゾーン] で、[us-west1-b] を選択します。
5. [マシンタイプ] を e2-micro に設定します。
6. [ネットワーキング] をクリックし、[ネットワークインターフェース] セクションで [ネットワークインターフェースを追加] をクリックして、次のように設定します。
  - ネットワーク: producer-network
  - サブネット: producer-subnet
  - 外部 IPv4 アドレス: なし
7. [詳細] をクリックし、[起動スクリプト] に次のスクリプトを入力します。
```
#!/bin/bash
# Log incoming packets from the gateway IP and the GENEVE 6081 port.
iptables -A INPUT -p udp -s '"$GW_IP"'/32 --dport 6081 -j LOG --log-prefix "[NSI MIRRORING] "

# Spin up a simple server for health checks on port 80.
nohup python3 -u -m http.server 80 &
```
  次のように置き換えます。
  - GW_IP: サブネットゲートウェイの IP アドレス。
8. [作成] をクリックします。

VM インスタンスをインスタンスグループに追加する

Google Cloud コンソールで、[インスタンスグループ] ページに移動します。

[インスタンスグループ] に移動
[producer-instance-group] をクリックします。
[編集] をクリックします。
[VM インスタンス] セクションの [VM を選択] リストから、producer-instance VM を選択します。
[保存] をクリックします。

gcloud

サブネットのゲートウェイの IP アドレスを取得します。

GW_IP=$(gcloud compute networks subnets describe producer-subnet \
    --region=us-west1 \
    --format="get(gatewayAddress)")

VM インスタンスを作成します。

gcloud compute instances create producer-instance \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --machine-type=e2-micro \
    --zone=us-west1-b \
    --network-interface="subnet=producer-subnet,no-address" \
    --metadata=startup-script='#!/bin/bash
     # Log incoming packets from the gateway IP and the GENEVE 6081 port.
     iptables -A INPUT -p udp -s '"$GW_IP"'/32 --dport 6081 -j LOG --log-prefix "[NSI MIRRORING] "

     # Spin up a simple server for health checks on port 80.
     nohup python3 -u -m http.server 80 &'

VM インスタンスをインスタンスグループに追加します。

gcloud compute instance-groups unmanaged add-instances producer-instance-group \
    --instances=producer-instance \
    --zone=us-west1-b

バックエンドサービスにインスタンスグループを追加します。

gcloud compute backend-services add-backend producer-backend-service \
    --region=us-west1 \
    --instance-group=producer-instance-group \
    --instance-group-zone=us-west1-b

ファイアウォールポリシーを作成し、ファイアウォールルールを追加する

このセクションでは、ファイアウォールポリシーを作成し、Identity-Aware Proxy（IAP）を介してプロデューサー VM インスタンスへの UDP トラフィック、 Google Cloud ヘルスチェック、SSH 接続を許可するファイアウォールルールを追加します。

コンソール

Google Cloud コンソールで、[ファイアウォールポリシー] ページに移動します。

[ファイアウォールポリシー] に移動
[ファイアウォールポリシーを作成] をクリックします。
[名前] フィールドに「producer-firewall-policy」と入力します。
[デプロイのスコープ] で [グローバル] を選択し、[続行] をクリックします。
ポリシーに次のルールを作成します。

VPC ゲートウェイの IP アドレスからの GENEVE ポートで UDP トラフィックを許可する
1. [ファイアウォールルールを作成] をクリックし、次のフィールドを構成します。
  - 優先度: 100
  - トラフィックの方向: 上り（内向き）
  - 一致したときのアクション: 許可
  - ソースフィルタ > IP 範囲: GATEWAY_IP
  - プロトコルとポート: [指定したプロトコルとポート] を選択して、[UDP] チェックボックスをオンにし、[ポート] に「6081」と入力します。
2. [作成] をクリックします。
GATEWAY_IP は、サブネットゲートウェイの IP アドレスに置き換えます。

Google Cloud ヘルスチェックを許可する
1. [ファイアウォールルールを作成] をクリックし、次のフィールドを構成します。
  - 優先度: 101
  - トラフィックの方向: 上り（内向き）
  - 一致したときのアクション: 許可
  - IP 範囲: 35.191.0.0/16 と 130.211.0.0/22
  - プロトコルとポート: [指定したプロトコルとポート] を選択して、[TCP] チェックボックスをオンにし、[ポート] に「80」と入力します。
2. [作成] をクリックします。
Identity-Aware Proxy を介してプロデューサー VM インスタンスへの SSH 接続を許可する
1. [ファイアウォールルールを作成] をクリックし、次のフィールドを構成します。
  - 優先度: 102
  - トラフィックの方向: 上り（内向き）
  - 一致したときのアクション: 許可
  - IP 範囲: 35.235.240.0/20
  - プロトコルとポート: [指定したプロトコルとポート] を選択して、[TCP] チェックボックスをオンにし、[ポート] に「22」と入力します。
2. [作成] をクリックします。
ポリシーをネットワークに関連付けるには、[続行] をクリックしてから [関連付け] をクリックします。
producer-network　チェックボックスをオンにします。
[続行] をクリックします。
[作成] をクリックします。

gcloud

グローバルネットワークファイアウォールポリシーを作成します。
```
gcloud compute network-firewall-policies create producer-firewall-policy \
    --global
```

ファイアウォールポリシーをプロデューサーネットワークに関連付けます。

gcloud compute network-firewall-policies associations create \
    --name=producer-firewall-policy-assoc \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy \
    --network=producer-network

VPC ゲートウェイの IP アドレスからの GENEVE ポートを使用した UDP 接続を許可するファイアウォールルールを作成します。

gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=udp:6081 \
    --src-ip-ranges=$GW_IP/32

Google Cloud ヘルスチェックを許可するファイアウォールルールを作成します。

gcloud compute network-firewall-policies rules create 101 \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=tcp:80 \
    --src-ip-ranges=35.191.0.0/16,130.211.0.0/22 # Google Cloud health check ranges

Identity-Aware Proxy を介してプロデューサー VM インスタンスへの SSH 接続を許可するファイアウォールルールを作成します。

gcloud compute network-firewall-policies rules create 102 \
    --firewall-policy=producer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 # Google Cloud IAP range

プロデューサーミラーリングリソースを作成する

このセクションでは、ミラーリングデプロイグループとミラーリングデプロイを作成します。

コンソール

Google Cloud コンソールで、[デプロイグループ] ページに移動します。

[デプロイグループ] に移動
[デプロイグループを作成] をクリックします。
[名前] に「producer-deployment-group」と入力します。
[ネットワーク] で producer-network を選択します。
[目的] で [NSI アウトオブバンド] を選択します。
[ミラーリングデプロイ] セクションで、[ミラーリングデプロイを作成] をクリックし、次のフィールドを指定して、[作成] をクリックします。
- 名前: producer-deployment
- リージョン: us-west1。
- ゾーン: us-west1-b。
- 内部ロードバランサ: producer-ilb。
[作成] をクリックします。

gcloud

ミラーリングデプロイグループを作成します。

gcloud network-security mirroring-deployment-groups create producer-deployment-group \
    --location=global \
    --network=projects/PROJECT_ID/global/networks/producer-network \
    --no-async

PROJECT_ID は、プロジェクトの ID に置き換えます。

ミラーリングデプロイを作成します。

gcloud network-security mirroring-deployments create producer-deployment \
    --location=us-west1-b \
    --forwarding-rule=producer-ilb-fr \
    --forwarding-rule-location=us-west1 \
    --mirroring-deployment-group=projects/PROJECT_ID/locations/global/mirroringDeploymentGroups/producer-deployment-group \
    --no-async

コンシューマーリソースを作成する

このセクションでは、コンシューマー用に次のリソースを作成します。

サブネットを含むカスタム VPC ネットワーク
サーバー VM とクライアント VM
トラフィックをミラーリングするファイアウォールポリシーとルール
ミラーリングエンドポイントグループとミラーリングエンドポイントグループの関連付け
セキュリティプロファイルとセキュリティプロファイルグループ

カスタム VPC ネットワークの作成

このセクションでは、サブネットを含む VPC ネットワークを作成します。

コンソール

Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

[VPC ネットワーク] に移動
[VPC ネットワークを作成] をクリックします。
[名前] に「consumer-network」と入力します。
[説明] に「Consumer VPC network」と入力します。
[サブネット] セクションで、次の操作を行います。
1. [サブネット作成モード] で [カスタム] を選択します。
2. [新しいサブネット] セクションに、次の情報を入力します。
  - 名前: consumer-subnet
  - リージョン: us-west1
  - IP スタックタイプ: IPv4（シングルスタック）
  - IPv4 範囲: 10.11.0.0/16
3. [完了] をクリックします。
[作成] をクリックします。

gcloud

コンシューマー VPC ネットワークを作成します。

gcloud compute networks create consumer-network \
    --subnet-mode=custom \
    --description="Consumer VPC network"

VPC ネットワークにサブネットを作成します。

gcloud compute networks subnets create consumer-subnet \
    --network=consumer-network \
    --region=us-west1 \
    --range=10.11.0.0/16

サーバー VM とクライアント VM を作成する

このセクションでは、サーバー VM とクライアント VM を作成します。

コンソール

サーバー VM を作成する

Google Cloud コンソールで、[VM インスタンス] ページに移動します。

VM インスタンスに移動
[インスタンスを作成] をクリックします。
[名前] を consumer-server-vm に設定します。
[リージョン] を us-west1 に設定します。
[ゾーン] を us-west1-b に設定します。
[マシンタイプ] を e2-micro に設定します。
[ネットワーキング] をクリックし、[ネットワークインターフェース] セクションで [ネットワークインターフェースを追加] をクリックして、次のように設定します。
- ネットワーク: consumer-network
- サブネット: consumer-subnet
- 外部 IPv4 アドレス: なし
[詳細] をクリックし、[起動スクリプト] に次のスクリプトを入力します。
```
echo success > /tmp/connection_test && nohup python3 -u -m http.server --directory /tmp 8000 &
```
[作成] をクリックします。

クライアント VM を作成する

Google Cloud コンソールで、[VM インスタンス] ページに移動します。

VM インスタンスに移動
[インスタンスを作成] をクリックします。
[名前] を consumer-client-vm に設定します。
[リージョン] を us-west1 に設定します。
[ゾーン] を us-west1-b に設定します。
[マシンタイプ] を e2-micro に設定します。
[ネットワーキング] をクリックし、[ネットワークインターフェース] セクションで [ネットワークインターフェースを追加] をクリックして、次のように設定します。
- ネットワーク: consumer-network
- サブネット: consumer-subnet
- 外部 IPv4 アドレス: なし
[作成] をクリックします。

gcloud

サーバー VM を作成する。

gcloud compute instances create consumer-server-vm \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --machine-type=e2-micro \
    --zone=us-west1-b \
    --network-interface="subnet=consumer-subnet,no-address" \
    --metadata=startup-script="echo success > /tmp/connection_test && nohup python3 -u -m http.server --directory /tmp 8000 &"

クライアント VM を作成する。

gcloud compute instances create consumer-client-vm \
    --image-project=debian-cloud \
    --image-family=debian-11 \
    --machine-type=e2-micro \
    --zone=us-west1-b \
    --network-interface="subnet=consumer-subnet,no-address"

上り（内向き）トラフィックを許可するファイアウォールポリシーを作成する

このセクションでは、ファイアウォールポリシーを作成し、コンシューマー VM への上り（内向き）トラフィックを許可するファイアウォールルールを追加します。

コンソール

Google Cloud コンソールで、[ファイアウォールポリシー] ページに移動します。

[ファイアウォールポリシー] に移動
[ファイアウォールポリシーを作成] をクリックします。
[名前] フィールドに「consumer-firewall-policy」と入力します。
[デプロイのスコープ] で [グローバル] を選択し、[続行] をクリックします。
[ファイアウォールルールを作成] をクリックし、次のフィールドを構成して、[作成] をクリックします。
- 優先度: 101
- トラフィックの方向: 上り（内向き）
- 一致したときのアクション: 許可
- ソースフィルタ > IP 範囲: 35.235.240.0/20
- プロトコルとポート: [指定したプロトコルとポート] を選択して、[TCP] チェックボックスをオンにし、[ポート] に「22」と入力します。
IPv4 範囲 35.235.240.0/20 には、Identity-Aware Proxy が TCP 転送に使用するすべての IP アドレスが含まれています。詳細については、IAP TCP 転送用のプロジェクトの準備をご覧ください。
TCP ポート 8000 のトラフィックがサーバー VM に到達できるようにするには、[ファイアウォールルールを作成] をクリックして、次のフィールドを構成します。
- 優先度: 102
- トラフィックの方向: 上り（内向き）
- 一致したときのアクション: 許可
- ソースフィルタ > IP 範囲: 10.11.0.0/16
- プロトコルとポート: [指定したプロトコルとポート] を選択して、[TCP] チェックボックスをオンにし、[ポート] に「8000」と入力します。
- [作成] をクリックします。
ポリシーをネットワークに関連付けるには、[続行] をクリックしてから [関連付け] をクリックします。
consumer-network　チェックボックスをオンにします。
[続行] をクリックします。
[作成] をクリックします。

gcloud

グローバルネットワークファイアウォールポリシーを作成します。
```
gcloud compute network-firewall-policies create consumer-firewall-policy \
    --global
```

ファイアウォールポリシーをコンシューマーネットワークに関連付けます。

gcloud compute network-firewall-policies associations create \
    --name=consumer-firewall-policy-assoc \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy \
    --network=consumer-network

Identity-Aware Proxy を介してクライアント VM インスタンスへの SSH 接続を許可する SSH 許可ルールを作成します。
```
gcloud compute network-firewall-policies rules create 101 \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 # Google Cloud IAP range
```
IPv4 範囲 35.235.240.0/20 には、IAP が TCP 転送に使用するすべての IP アドレスが含まれています。詳細については、IAP TCP 転送用のプロジェクトの準備をご覧ください。

TCP ポート 8000 でサーバー VM へのトラフィックを許可するファイアウォールルールを作成します。

gcloud compute network-firewall-policies rules create 102 \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy \
    --action=allow \
    --direction=INGRESS \
    --layer4-configs=tcp:8000 \
    --src-ip-ranges=10.11.0.0/16

コンシューマーエンドポイントグループを作成する

このセクションでは、ミラーリングエンドポイントグループとミラーリングエンドポイントグループの関連付けを作成します。

コンソール

Google Cloud コンソールで、[エンドポイントグループ] ページに移動します。

[エンドポイントグループ] に移動
[エンドポイントグループを作成] をクリックします。
[名前] に「consumer-endpoint-group」と入力します。
[目的] で [NSI アウトオブバンド] を選択します。
[デプロイグループ] で、[プロジェクト内] を選択します。
[デプロイグループ名] に「producer-deployment-group」と入力します。
[続行] をクリックします。
[エンドポイントグループの関連付けを追加] をクリックします。
[プロジェクト] で、現在のプロジェクトを選択します。
[ネットワーク] で consumer-network を選択します。
[作成] をクリックします。

gcloud

ミラーリングエンドポイントグループを作成します。

gcloud network-security mirroring-endpoint-groups create consumer-endpoint-group \
    --location=global \
    --mirroring-deployment-group=projects/PROJECT_ID/locations/global/mirroringDeploymentGroups/producer-deployment-group \
    --no-async

PROJECT_ID は、プロジェクトの ID に置き換えます。

ミラーリングエンドポイントグループの関連付けを作成します。

gcloud network-security mirroring-endpoint-group-associations create consumer-endpoint-group-association \
    --location=global \
    --mirroring-endpoint-group=projects/PROJECT_ID/locations/global/mirroringEndpointGroups/consumer-endpoint-group \
    --network=consumer-network \
    --no-async

セキュリティプロファイルとセキュリティプロファイルグループを作成する

トラフィックをミラーリングするセキュリティプロファイルグループとカスタムセキュリティプロファイルを作成します。

コンソール

カスタムセキュリティプロファイルを作成する

Google Cloud コンソールで、[セキュリティプロファイル] ページに移動します。

[セキュリティプロファイル] に移動
組織選択ツールから自分の組織を選択します。
[セキュリティプロファイル] タブで、[プロファイルを作成] をクリックします。
[名前] に「consumer-security-profile」と入力します。
[目的] で [NSI アウトオブバンド] を選択します。
[プロジェクト] で、現在のプロジェクトを選択します。
[エンドポイントグループ] で consumer-endpoint-group を選択します。
[作成] をクリックします。

セキュリティプロファイルグループを作成する

Google Cloud コンソールで、[セキュリティプロファイルグループ] ページに移動します。

[セキュリティプロファイルグループ] に移動
組織選択ツールから自分の組織を選択します。
[セキュリティプロファイルグループ] タブで、[プロファイルグループを作成] をクリックします。
[名前] に「consumer-security-profile-group」と入力します。
[目的] で [NSI アウトオブバンド] を選択します。
[カスタムミラーリングプロファイル] で、consumer-security-profile を選択します。
[作成] をクリックします。

gcloud

カスタムミラーリングセキュリティプロファイルを作成します。
```
gcloud network-security security-profiles custom-mirroring create consumer-security-profile \
    --location=global \
    --organization=ORG_ID \
    --mirroring-endpoint-group=projects/PROJECT_ID/locations/global/mirroringEndpointGroups/consumer-endpoint-group \
    --billing-project=PROJECT_ID \
    --no-async
```
次のように置き換えます。
- ORG_ID: 組織の ID。セキュリティプロファイルは組織レベルのリソースです。これらを作成するには、組織レベルでセキュリティプロファイル管理者のロール（networksecurity.securityProfileAdmin）が必要です。
- PROJECT_ID: 実際のプロジェクトの ID。
ミラーリングセキュリティプロファイルグループを作成します。
```
gcloud network-security security-profile-groups create consumer-security-profile-group \
    --location=global \
    --organization=ORG_ID \
    --custom-mirroring-profile=organizations/ORG_ID/locations/global/securityProfiles/consumer-security-profile \
    --billing-project=PROJECT_ID \
    --no-async
```
次のように置き換えます。
- ORG_ID: 組織の ID。セキュリティプロファイルグループは組織レベルのリソースです。これらを作成するには、組織レベルでセキュリティプロファイル管理者ロール（networksecurity.securityProfileAdmin）が必要です。
- PROJECT_ID: 実際のプロジェクトの ID。

トラフィックをミラーリングするファイアウォールポリシールールを作成する

このセクションでは、トラフィックをミラーリングするミラーリングルールを作成します。

コンソール

Google Cloud コンソールで、[ファイアウォールポリシー] ページに移動します。

[ファイアウォールポリシー] に移動
[consumer-firewall-policy] をクリックします。
[ミラーリングルール] タブをクリックします。
[ミラーリングルールを作成] をクリックし、次のフィールドを構成します。
- 優先度: 100
- トラフィックの方向: 上り（内向き）
- 一致したときのアクション: ミラーリング
- セキュリティプロファイルグループ: consumer-security-profile-group
- 送信元: IPv4
- IP 範囲: 10.11.0.0/16
- プロトコルとポート: [指定したプロトコルとポート] を選択して、[TCP] チェックボックスをオンにし、[ポート] に「8000」と指定します。
[作成] をクリックします。

gcloud

ファイアウォールルールを追加して、サーバー VM の TCP ポート 8000 でトラフィックをミラーリングします。

gcloud compute network-firewall-policies mirroring-rules create 100 \
    --firewall-policy=consumer-firewall-policy \
    --global-firewall-policy \
    --action=mirror \
    --security-profile-group=organizations/ORG_ID/locations/global/securityProfileGroups/consumer-security-profile-group \
    --direction=INGRESS \
    --layer4-configs=tcp:8000 \
    --src-ip-ranges=10.11.0.0/16

ORG_ID は組織の ID に置き換えます。

接続をテストする

このセクションでは、コンシューマークライアント VM インスタンスからコンシューマーサーバー VM インスタンスにネットワークトラフィックを送信し、プロデューサー VM インスタンスのログを調べてミラーリングを確認します。

次のコマンドを実行して、SSH 経由でコンシューマークライアント VM インスタンスに接続し、コンシューマーサーバー VM インスタンスにリクエストを送信します。
```
gcloud compute ssh consumer-client-vm \
    --tunnel-through-iap \
    --zone=us-west1-b \
    --command="curl -m 3 -s http://consumer-server-vm:8000/connection_test || echo fail"
```
前のコマンドを実行すると、success メッセージが表示されます。これは、トラフィックがクライアントからサーバーに送信されることを示します。
次のコマンドを実行して、プロデューサー VM インスタンスのログを確認します。
```
gcloud compute ssh producer-instance \
    --tunnel-through-iap \
    --zone=us-west1-b \
    --command="cat /var/log/syslog | grep 'NSI MIRRORING'"
```
[NSI MIRRORING] IN=ens4 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=10.10.0.1 DST=10.10.0.2 LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=45554 DPT=6081 LEN=116 のようなメッセージが表示されます。これは、クライアントサーバートラフィックがプロデューサー VM インスタンスによってミラーリングされていることを示します。

クリーンアップ

このチュートリアルで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。

コンシューマーリソースを削除する

ファイアウォールポリシーとコンシューマーネットワークの関連付けを解除し、ファイアウォールポリシーを削除します。
コンソール
1. Google Cloud コンソールで、[ファイアウォールポリシー] ページに移動します。
  
  [ファイアウォールポリシー] に移動
2. consumer-firewall-policy ポリシーをクリックします。
3. [関連付け] タブをクリックします。
4. consumer-network 関連付けのチェックボックスをオンにします。
5. [関連付けを削除] をクリックします。
6. [削除] をクリックします。
7. ページの上部にある [削除] をクリックします。
8. もう一度 [削除] をクリックして確定します。
gcloud
1. 関連付けを削除します。
  gcloud compute network-firewall-policies associations delete \ --name=consumer-firewall-policy-assoc \ --firewall-policy=consumer-firewall-policy \ --global-firewall-policy
2. ファイアウォールポリシーを削除します。
  gcloud compute network-firewall-policies delete consumer-firewall-policy \ --global
セキュリティプロファイルグループを削除します。
コンソール
1. Google Cloud コンソールで、[セキュリティプロファイル] ページに移動します。
  
  [セキュリティプロファイル] に移動
2. 組織選択ツールから自分の組織を選択します。
3. [セキュリティプロファイルグループ] タブで、consumer-security-profile-group セキュリティプロファイルグループを選択し、[削除] をクリックします。
4. もう一度 [削除] をクリックして確定します。
gcloud
```
gcloud network-security security-profile-groups delete consumer-security-profile-group \
    --location=global \
    --organization=ORG_ID \
    --billing-project=PROJECT_ID \
    --quiet
```
次のように置き換えます。
- ORG_ID: 組織 ID
- PROJECT_ID: プロジェクト ID
セキュリティプロファイルを削除します。
コンソール
1. Google Cloud コンソールで、[セキュリティプロファイル] ページに移動します。
  
  [セキュリティプロファイル] に移動
2. 組織選択ツールから自分の組織を選択します。
3. [セキュリティプロファイル] タブで、consumer-security-profile セキュリティプロファイルを選択し、[削除] をクリックします。
4. もう一度 [削除] をクリックして確定します。
gcloud
```
gcloud network-security security-profiles custom-mirroring delete consumer-security-profile \
    --location=global \
    --organization=ORG_ID \
    --billing-project=PROJECT_ID \
    --quiet
```
ミラーリングエンドポイントグループの関連付けを削除します。
コンソール
1. Google Cloud コンソールで、[エンドポイントグループ] ページに移動します。
  
  [エンドポイントグループ] に移動
2. [consumer-endpoint-group] をクリックします。
3. consumer-network の関連付けを選択し、[削除] をクリックします。
4. もう一度 [削除] をクリックして確定します。
gcloud
```
gcloud network-security mirroring-endpoint-group-associations delete consumer-endpoint-group-association \
    --location=global \
    --no-async
```
ミラーリングエンドポイントグループを削除します。
コンソール
1. Google Cloud コンソールで、[エンドポイントグループ] ページに移動します。
  
  [エンドポイントグループ] に移動
2. [consumer-endpoint-group] を選択し、[削除] をクリックします。
3. もう一度 [削除] をクリックして確定します。
gcloud
```
gcloud network-security mirroring-endpoint-groups delete consumer-endpoint-group \
    --location=global \
    --no-async
```
サーバー VM とクライアント VM を削除します。
コンソール
1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。
  
  VM インスタンスに移動
2. consumer-client-vm と consumer-server-vm のチェックボックスをオンにして、[削除] をクリックします。
3. もう一度 [削除] をクリックして確定します。
gcloud
1. クライアント VM を削除します。
  gcloud compute instances delete consumer-client-vm \ --zone=us-west1-b \ --quiet
2. サーバー VM を削除します。
  gcloud compute instances delete consumer-server-vm \ --zone=us-west1-b \ --quiet
コンシューマーネットワークとサブネットを削除します。
コンソール
1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
  
  [VPC ネットワーク] に移動
2. [consumer-network] をクリックします。
3. [サブネット] タブで、consumer-subnet のチェックボックスをオンにして、[削除] をクリックします。
4. もう一度 [削除] をクリックして確定します。
5. [VPC ネットワークの削除] をクリックします。
6. テキストフィールドに consumer-network と入力して、[削除] をクリックします。
gcloud
1. サブネットを削除します。
  gcloud compute networks subnets delete consumer-subnet \ --region=us-west1 \ --quiet
2. VPC ネットワークを削除します。
  gcloud compute networks delete consumer-network \ --quiet

プロデューサーリソースを削除する

ファイアウォールポリシーとプロデューサーネットワークの関連付けを解除し、ファイアウォールポリシーを削除します。
コンソール
1. Google Cloud コンソールで、[ファイアウォールポリシー] ページに移動します。
  
  [ファイアウォールポリシー] に移動
2. producer-firewall-policy ポリシーをクリックします。
3. [関連付け] タブをクリックします。
4. producer-network 関連付けのチェックボックスをオンにします。
5. [関連付けを削除] をクリックします。
6. [削除] をクリックします。
7. [削除] をクリックします。
8. もう一度 [削除] をクリックして確定します。
gcloud
1. 関連付けを削除します。
  gcloud compute network-firewall-policies associations delete \ --name=producer-firewall-policy-assoc \ --firewall-policy=producer-firewall-policy \ --global-firewall-policy
2. ファイアウォールポリシーを削除します。
  gcloud compute network-firewall-policies delete producer-firewall-policy \ --global
ミラーリングデプロイとミラーリングデプロイグループを削除します。
コンソール
1. Google Cloud コンソールで、[デプロイグループ] ページに移動します。
  
  [デプロイグループ] に移動
2. [producer-deployment-group] をクリックします。
3. producer-deployment を削除します。
  1. producer-deployment のチェックボックスをオンにして、[削除] をクリックします。
  2. もう一度 [削除] をクリックして確定します。
4. [削除] ボタンをクリックします。
5. もう一度 [削除] をクリックして確定します。
gcloud
1. ミラーリングデプロイを削除します。
  gcloud network-security mirroring-deployments delete producer-deployment \ --location=us-west1-b \ --no-async
2. ミラーリングデプロイグループを削除します。
  gcloud network-security mirroring-deployment-groups delete producer-deployment-group \ --location=global \ --no-async
ロードバランサリソースを削除します。
コンソール
1. Google Cloud コンソールで、[ロードバランシング] ページに移動します。
  
  [ロードバランシング] に移動
2. producer-ilb　チェックボックスをオンにします。
3. ページ上部にある [削除] ボタンをクリックします。
4. producer-health-check チェックボックスをオンにして、[ロードバランサと選択したリソースを削除] をクリックします。
gcloud
1. 転送ルールを削除します。
  gcloud compute forwarding-rules delete producer-ilb-fr \ --region=us-west1 \ --quiet
2. バックエンドサービスを削除します。
  gcloud compute backend-services delete producer-backend-service \ --region=us-west1 \ --quiet
3. ヘルスチェックを削除します。
  gcloud compute health-checks delete producer-health-check \ --region=us-west1 \ --quiet
プロデューサー VM インスタンスを削除します。
コンソール
1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。
  
  [VM インスタンス] に移動
2. producer-instance のチェックボックスをオンにして、[削除] をクリックします。
3. もう一度 [削除] をクリックして確定します。
gcloud
```
gcloud compute instances delete producer-instance \
    --zone=us-west1-b \
    --quiet
```
インスタンスグループを削除します。
コンソール
1. Google Cloud コンソールで、[インスタンスグループ] ページに移動します。
  
  [インスタンスグループ] に移動
2. producer-instance-group　チェックボックスをオンにします。
3. [削除] をクリックします。
4. 確認ウィンドウで [削除] をクリックします。
gcloud
```
gcloud compute instance-groups unmanaged delete producer-instance-group \
    --zone=us-west1-b \
    --quiet
```
プロデューサーネットワークとサブネットを削除します。
コンソール
1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
  
  [VPC ネットワーク] に移動
2. [producer-network] をクリックします。
3. [サブネット] タブで、producer-subnet のチェックボックスをオンにして、[削除] をクリックします。
4. もう一度 [削除] をクリックして確定します。
5. [VPC ネットワークの削除] をクリックします。
6. テキストフィールドに producer-network と入力して、[削除] をクリックします。
gcloud
1. サブネットを削除します。
  gcloud compute networks subnets delete producer-subnet \ --region=us-west1 \ --quiet
2. ネットワークを削除します。
  gcloud compute networks delete producer-network \ --quiet

次のステップ

ミラーリングデプロイグループの概要
ミラーリングデプロイの概要
ミラーリングエンドポイントグループの概要
セキュリティプロファイルの概要
セキュリティプロファイルグループの概要
Google Cloud に関するリファレンスアーキテクチャ、図、ベストプラクティスを確認する。Cloud Architecture Center を確認する。

プロデューサー / コンシューマー モデルのアウトオブバンド統合を設定する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

目標

始める前に

プロデューサー リソースを作成する

カスタム VPC ネットワークの作成

コンソール

gcloud

非マネージド インスタンス グループを作成する

コンソール

gcloud

ロードバランサ コンポーネントを構成する

コンソール

構成を開始する

基本構成

バックエンドを構成する

フロントエンドを構成する

構成を確認する

gcloud

VM インスタンスを作成してインスタンス グループに追加する

コンソール

gcloud

ファイアウォール ポリシーを作成し、ファイアウォール ルールを追加する

コンソール

gcloud

プロデューサー ミラーリング リソースを作成する

コンソール

gcloud

コンシューマー リソースを作成する

カスタム VPC ネットワークの作成

コンソール

gcloud

サーバー VM とクライアント VM を作成する

コンソール

サーバー VM を作成する

クライアント VM を作成する

gcloud

上り（内向き）トラフィックを許可するファイアウォール ポリシーを作成する

コンソール

gcloud

コンシューマー エンドポイント グループを作成する

コンソール

gcloud

セキュリティ プロファイルとセキュリティ プロファイル グループを作成する

コンソール

カスタム セキュリティ プロファイルを作成する

セキュリティ プロファイル グループを作成する

gcloud

トラフィックをミラーリングするファイアウォール ポリシールールを作成する

コンソール

gcloud

接続をテストする

クリーンアップ

コンシューマー リソースを削除する

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

プロデューサー リソースを削除する

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

コンソール

gcloud

プロデューサー / コンシューマーモデルのアウトオブバンド統合を設定する

プロデューサーリソースを作成する

非マネージドインスタンスグループを作成する

ロードバランサコンポーネントを構成する

VM インスタンスを作成してインスタンスグループに追加する

ファイアウォールポリシーを作成し、ファイアウォールルールを追加する

プロデューサーミラーリングリソースを作成する

コンシューマーリソースを作成する

上り（内向き）トラフィックを許可するファイアウォールポリシーを作成する

コンシューマーエンドポイントグループを作成する

セキュリティプロファイルとセキュリティプロファイルグループを作成する

カスタムセキュリティプロファイルを作成する

セキュリティプロファイルグループを作成する

トラフィックをミラーリングするファイアウォールポリシールールを作成する

コンシューマーリソースを削除する

プロデューサーリソースを削除する