Google Cloud 環境全体のネットワーク トラフィックを制御するには、グローバル ネットワーク ファイアウォール ポリシーとそのルールを管理します。このページでは、ポリシーとその個々のルールを一覧表示、記述、更新する方法について説明します。ポリシー間でルールを複製する方法と、Virtual Private Cloud(VPC)ネットワークでポリシー関連付けを管理する方法を学習します。
このページを読む前に、グローバル ネットワーク ファイアウォール ポリシーの概要で説明されているコンセプトを理解しておいてください。
ファイアウォール ポリシーのタスク
このセクションでは、グローバル ネットワーク ファイアウォール ポリシーの管理方法について説明します。
グローバル ネットワーク ファイアウォール ポリシーの情報を取得する
グローバル ネットワーク ファイアウォール ポリシーの詳細(ポリシー ルールや関連するルール属性など)を表示できます。これらのルール属性はすべて、ルール属性の割り当ての一部としてカウントされます。詳細については、ファイアウォール ポリシーごとの表の「グローバル ネットワーク ファイアウォール ポリシーごとのルール属性」をご覧ください。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
gcloud
gcloud compute network-firewall-policies describe POLICY_NAME \
--global
グローバル ネットワーク ファイアウォール ポリシーの説明を更新する
更新できるポリシー フィールドは [説明] フィールドのみです。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
[編集] をクリックします。
[説明] フィールドのテキストを変更します。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--global
グローバル ネットワーク ファイアウォール ポリシーを一覧表示する
プロジェクトで利用可能なポリシーのリストを表示できます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
[ネットワーク ファイアウォール ポリシー] セクションに、プロジェクトで使用可能なポリシーが表示されます。
gcloud
gcloud compute network-firewall-policies list --global
ネットワークの関連付けを削除する
VPC ネットワークに関連付けられているグローバル ネットワーク ファイアウォール ポリシーを変更する必要がある場合は、既存の関連付けられたポリシーを削除するのではなく、まず新しいポリシーを関連付けることをおすすめします。新しいポリシーを 1 つのステップで関連付けることができるため、グローバル ネットワーク ファイアウォール ポリシーが常に VPC ネットワークに関連付けられていることを確認できます。
グローバル ネットワーク ファイアウォール ポリシーと VPC ネットワークの関連付けを削除するには、このセクションで説明する手順に沿って操作します。グローバル ネットワーク ファイアウォール ポリシーのルールは、関連付けが削除された後、新しい接続には適用されません。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、プロジェクトまたはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
削除する関連付けを選択します。
[関連付けを削除] をクリックします。
gcloud
gcloud compute network-firewall-policies associations delete \
--firewall-policy FIREWALL_POLICY \
--name ASSOCIATION_NAME \
--firewall-policy-region FIREWALL_POLICY_REGION \
--global-firewall-policy
グローバル ネットワーク ファイアウォール ポリシーを削除する
グローバル ネットワーク ファイアウォール ポリシーを削除する前に、すべての関連付けを削除する必要があります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
削除するポリシーをクリックします。
[関連付け] タブをクリックします。
すべての関連付けを選択します。
[関連付けを削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ポリシーを削除するには、次のコマンドを使用します。
gcloud compute network-firewall-policies delete POLICY_NAME \
--global
ファイアウォール ポリシー ルールのタスク
このセクションでは、グローバル ネットワーク ファイアウォール ポリシー ルールの管理方法について説明します。
ポリシー間でルールのクローンを作成する
クローン作成では、ソースポリシーのルールがターゲット ポリシーにコピーされ、ターゲット ポリシーの既存のルールがすべて置き換えられます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ルールのコピー元ポリシーをクリックします。
画面の上部の [クローン] をクリックします。
ターゲット ポリシーの名前を指定します。
新しいポリシーをすぐに関連付ける場合は、[続行] > [関連付け] をクリックします。
[ポリシーと VPC ネットワークの関連付け] ページで、ネットワークを選択して [関連付け] をクリックします。
[続行] をクリックします。
[クローン] をクリックします。
gcloud
gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
--global \
--source-firewall-policy SOURCE_POLICY
次のように置き換えます。
TARGET_POLICY: ターゲット ポリシーの名前。SOURCE_POLICY: ソースポリシーの URL。
ルールの説明を取得する
グローバル ネットワーク ファイアウォール ポリシーの特定ルールの詳細を表示できます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
gcloud
gcloud compute network-firewall-policies rules describe PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
次のように置き換えます。
PRIORITY: ルールを一意に識別する優先度番号。POLICY_NAME: ルールを含むポリシーの名前。
グローバル ネットワーク ファイアウォール ポリシールールを更新する
グローバル ネットワーク ファイアウォール ポリシー ルールを変更して、一致したときのアクション、IP アドレス範囲、プロトコルとポートなどのルール属性を変更できます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、グローバル ネットワーク ファイアウォール ポリシーを含むプロジェクトを選択します。
更新するルールを含むグローバル ネットワーク ファイアウォール ポリシーの名前をクリックします。
ルールの優先度をクリックします。
[編集] をクリックします。
変更するファイアウォール ルールのフィールドを変更します。各フィールドの説明については、次のいずれかをご覧ください。
[保存] をクリックします。
gcloud
gcloud compute network-firewall-policies rules update PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy \
[...other flags that you want to modify...]
次のように置き換えます。
PRIORITY: ルールを一意に識別する優先度番号。POLICY_NAME: ルールを含むポリシーの名前。
変更するフラグを指定します。フラグの説明については、次のいずれかをご覧ください。
VM インターフェースで有効なファイアウォール ルールを表示する
Compute Engine VM のネットワーク インターフェースに適用されるすべてのファイアウォール ルール(適用可能なすべてのファイアウォール ポリシーと VPC ファイアウォール ルールから)を表示できます。
コンソール
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
プロジェクト セレクタ メニューで、VM を含むプロジェクトを選択します。
VM をクリックします。
[ネットワーク インターフェース] で、インターフェースの名前をクリックします。
[ネットワーク構成分析] セクションで、[ファイアウォール] タブをクリックします。
有効なファイアウォール ルールを表示するには、[ファイアウォール ルールビュー] タブをクリックします。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
次のように置き換えます。
INSTANCE_NAME: 有効なルールを表示する VM。インターフェースが指定されていない場合、コマンドはプライマリ インターフェース(nic0)のルールを返します。INTERFACE: 有効なルールを表示する VM インターフェース。デフォルト値はnic0です。ZONE: VM のゾーン。目的のゾーンがすでにデフォルトとして選択されている場合、この行は省略可能です。
ネットワークで有効なファイアウォール ルールを表示する
VPC ネットワークのすべてのリージョンに適用されるすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示できます。
コンソール
Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
ファイアウォール ポリシー ルールを表示するネットワークをクリックします。
[VPC ネットワークの詳細] ページで、[ファイアウォール] タブをクリックします。
このネットワークに適用されるルールを表示するには、[ファイアウォール ルールビュー] タブをクリックします。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
NETWORK_NAME は、有効なルールを表示するネットワークに置き換えます。
また、ネットワークの有効なファイアウォール ルールは [ファイアウォール] ページでも確認できます。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。
ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。
ポリシーからルールを削除する
ポリシーからルールを削除すると、ルールのターゲットとの間の新しい接続にルールが適用されなくなります。
コンソール
Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタ メニューで、ポリシーを含むプロジェクトを選択します。
ポリシーをクリックします。
削除するルールを選択します。
[削除] をクリックします。
gcloud
gcloud compute network-firewall-policies rules delete PRIORITY \
--firewall-policy=POLICY_NAME \
--global-firewall-policy
次のように置き換えます。
PRIORITY: ルールを一意に識別する優先度番号。POLICY_NAME: ルールを含むポリシーの名前。