GCP - VPC & Networking
GCP Compute Networking の要点
VPC には Firewall ルールが含まれ、VPC への着信トラフィックを許可します。VPC にはまた、仮想マシン が 接続される サブネットワーク も含まれています。 AWS と比較すると、Firewall は AWS のセキュリティグループと NACL に 最も近いものですが、この場合、これらは VPC で定義されており、各インスタンスではないです。
GCP の VPC、サブネットワーク、およびファイアウォール
Compute インスタンスは VPC の一部である サブネットワーク に接続されます(Virtual Private Clouds)。GCP にはセキュリティグループは存在せず、VPC ファイアウォール があり、これらはネットワークレベルで定義されたルールが各 VM インスタンスに適用されます。
サブネットワーク
VPC には 複数のサブネットワーク を持つことができます。各 サブネットワークは 1 つのリージョンにあります。
ファイアウォール
デフォルトでは、すべてのネットワークには二つの暗黙のファイアウォールルールがあります: アウトバウンドを許可 および インバウンドを拒否。
GCP プロジェクトが作成されると、default
という名前の VPC が作成され、次のファイアウォールルールが適用されます:
default-allow-internal:
default
ネットワーク上の他のインスタンスからのすべてのトラフィックを許可default-allow-ssh: どこからでも 22 を許可
default-allow-rdp: どこからでも 3389 を許可
default-allow-icmp: どこからでも ping を許可
ファイアウォールルールは 内部 IP アドレスに対して より許可的になる傾向があります。デフォルトの VPC では、Compute インスタンス間のすべてのトラフィックを許可します。
デフォルトの VPC または新しい VPC に対して追加の ファイアウォールルール を作成できます。ファイアウォールルールは以下の 方法でインスタンスに適用できます:
VPC 内のすべてのインスタンス
残念ながら、インターネット上のオープンポートを持つすべての Compute インスタンスを一括で取得するための簡単な gcloud
コマンドはありません。ファイアウォールルール、ネットワークタグ、サービスアカウント、およびインスタンスの間の関連付けを行う必要があります。
このプロセスは、この Python スクリプトを使用して自動化され、以下をエクスポートします:
インスタンス、パブリック IP、許可された TCP、許可された UDP を示す CSV ファイル
インターネットからのすべてのインスタンスを対象とする nmap スキャン(0.0.0.0/0 からの許可されたポートイングレス)
インターネットからのすべての TCP ポートを許可するこれらのインスタンスの全 TCP レンジを対象とする masscan
階層型ファイアウォールポリシー
階層型ファイアウォールポリシー を使用すると、組織全体で一貫したファイアウォールポリシーを作成および 強制 できます。これらのポリシーを組織全体または個々の フォルダ に割り当てることができます。これらのポリシーには接続を明示的に拒否または許可するルールが含まれます。
ファイアウォールポリシーを作成および適用することは別々のステップです。ファイアウォールポリシーを リソース階層 の 組織またはフォルダノード で作成および適用できます。ファイアウォールポリシールールは、接続をブロック、接続を許可、または VPC ネットワークで定義された VPC ファイアウォールルールにファイアウォールルール評価を遅延させることができます。
デフォルトでは、階層型ファイアウォールポリシールールは、ポリシーが関連付けられている組織またはフォルダの下のすべてのプロジェクトのすべての VM に適用されます。ただし、ターゲットネットワークまたはターゲットサービスアカウント を指定することで、特定の VM にルールを適用できます。
ここで 階層型ファイアウォールポリシーを作成 する方法を読むことができます。
ファイアウォールルールの評価
組織: 組織に割り当てられたファイアウォールポリシー
フォルダ: フォルダに割り当てられたファイアウォールポリシー
VPC: VPC に割り当てられたファイアウォールルール
グローバル: VPC に割り当てられた別のタイプのファイアウォールルール
リージョナル: VM の NIC と VM のリージョンに関連付けられた VPC ネットワークに関連付けられたファイアウォールルール。
VPC ネットワークピアリング
2 つの Virtual Private Cloud (VPC) ネットワークを接続し、各ネットワークのリソースが互いに通信できるようにします。 ピアリングされた VPC ネットワークは、同じプロジェクト内、同じ組織の異なるプロジェクト内、または 異なる組織の異なるプロジェクト内に配置できます。
必要な権限は次のとおりです:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
参考文献
最終更新