ULL VPC ネットワークのファイアウォール ポリシーを作成して管理する
超低レイテンシ(ULL)Virtual Private Cloud(VPC)ネットワーク用に Cloud Next Generation Firewall(Cloud NGFW)を構成するには、リージョン ネットワーク ファイアウォール ポリシーを作成し、ポリシー タイプ フラグを ULL_POLICY に設定する必要があります。ULL VPC ネットワークは通常の VPC ネットワークとは異なり、以前の VPC ファイアウォール ルールをサポートしていません。
このページでは、ULL VPC ネットワークに適用されるファイアウォール ポリシー ルールを構成する方法について説明します。
始める前に
ネットワーク ファイアウォール ポリシーを管理するには、Compute セキュリティ管理者のロール(
roles/compute.securityAdmin)があることを確認します。ULL VPC ネットワークがあることを確認します。
ULL ファイアウォール ポリシーを作成する
ULL VPC ネットワークを作成したら、そのネットワークのファイアウォール ポリシーを作成できます。ポリシーを作成するときに、policy_type フィールドを ULL_POLICY に設定します。ULL VPC ネットワークには、リージョン ネットワーク ファイアウォール ポリシーのみを使用できます。
gcloud
ULL リージョン ネットワーク ファイアウォール ポリシーを作成するには、
gcloud beta compute network-firewall-policies createコマンドを使用します。gcloud beta compute network-firewall-policies create FIREWALL_POLICY_NAME \ --region=REGION \ --policy_type=ULL_POLICY次の値を置き換えます。
FIREWALL_POLICY_NAME: ネットワーク ファイアウォール ポリシーの名前。REGION: ULL ネットワーク ファイアウォール ポリシーのリージョン。
ULL ファイアウォール ポリシーにルールを作成する
ULL ポリシーにファイアウォール ルールを追加します。低レイテンシを維持するため、ULL ポリシーは標準の Cloud NGFW 機能の特定のサブセットをサポートします。
gcloud
ULL ネットワーク ファイアウォール ポリシーにルールを追加するには、
gcloud compute network-firewall-policies rules createコマンドを使用します。gcloud compute network-firewall-policies rules create PRIORITY \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --action=allow \ --direction=DIRECTION \ --src-ip-ranges=SOURCE_IP_RANGE \ --layer4-configs=tcp:80,udp:53次の値を置き換えます。
PRIORITY: ポリシー内のルールの数値評価順序。優先度はルールごとに一意である必要があります。REGION: ULL ネットワーク ファイアウォール ポリシーのリージョン。FIREWALL_POLICY_NAME: ネットワーク ファイアウォール ポリシーの名前。DIRECTION: ルールが適用されるトラフィックの方向。SOURCE_IP_RANGE: ファイアウォール ルールに一致するインバウンド接続をネットワーク上のインスタンスに許可する IP アドレス範囲。IP アドレスは、クラスレス ドメイン間ルーティング(CIDR)形式で指定する必要があります。
ポリシーを ULL VPC ネットワークに関連付ける
ポリシーを作成してルールを定義したら、ULL VPC ネットワークに関連付けます。この関連付けにより、ネットワークのプロファイルで ULL_POLICY タイプが許可されていることが検証されます。
gcloud
ULL VPC ネットワークを関連付けるには、
gcloud compute network-firewall-policies associations createコマンドを使用します。gcloud compute network-firewall-policies associations create \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --network=ULL_NETWORK_NAME次の値を置き換えます。
REGION: ULL ネットワーク ファイアウォール ポリシーのリージョン。FIREWALL_POLICY_NAME: ネットワーク ファイアウォール ポリシーの名前。ULL_NETWORK_NAME: ULL VPC ネットワークの名前。