ファイアーウォールルールのセットでは、トラフィックの種類ごとに「許可」と「拒否」の両方のルールを定義することができます。ソースは、インターネットアドレス、内部ロードバランサー、またはVMのグループです。VMのグループは、VMに割り当てられたタグによって識別されます。
詳細については、Google Cloudのドキュメント を参照してください。
[VPCネットワーク] > [ファイアウォール] に移動すると、「デフォルト」のVPCに対して一連のファイアーウォールルールがすでに定義されています。 lk-vpcに対して次のルールを定義します。
- lk-nodeタグを使用してリモートワークロケーションからVMへのsshトラフィックを許可します。(fw-allow-ssh)
- lk-nodeタグを使用してVM間のすべてのトラフィックを許可します。(fw-allow-lk-node-connection)
- lk-nodeタグを使用して、内部ロードバランサーからVMへのすべてのヘルスチェックプローブを許可します。 (fw-allow-health-check)
これらのファイアーウォールルールで許可されるトラフィックは、下図の太い矢印で強調表示されています。
次の表に、これらのルールの構成方法の概要を示します。
VM全体で共通の値 | Network | lk-vpc |
---|---|---|
Type | Ingress | |
Target | lk-node | |
Action | Allow | |
fw-allow-ssh | Priority | 1000 |
Source | WAN IP Address of work location | |
Protocols / ports | tcp:22 | |
fw-allow-lk-node-connection | Priority | 1100 |
Source | Tags: lk-node | |
Protocols / ports | all | |
fw-allow-health-check (*1) | Priority | 1200 |
Source | 130.211.0.0/22, 35.191.0.0/16 | |
Protocols / ports | all |
(*1) ロードバランサーのヘルスチェックスプローブに関するGoogle Cloudのドキュメント
- ホーム画面から [VPCネットワーク] > [ファイアウォール] を選択すると、デフォルトのvpcのファイアーウォールルールのリストが表示されます。上部にある [ファイアウォールルールの作成] をクリックして、最初のルール「fw-allow-ssh」を作成します。
- 以下のステップでは、作業場所からのssh接続を許可して、作業場所からノードを構成できるようにする方法について説明します。「ファイアウォールルールの作成」ウィザードで、名前をfw-allow-sshと指定します。
- [ネットワーク] でlk-vpcを選択します。
- 優先度は0〜65535の任意の値を指定できますが、デフォルト値の1000のままにします。他のルールには、1100、1200などを使用できます。これにより、将来追加のルールが必要になった場合に、他の優先度の値を挿入できます。
- [トラフィックの方向] で「Ingress」を選択し、[一致したときのアクション] で「許可」を選択します。この選択により、次の手順で指定したパターンに一致する受信トラフィックが「許可」されます。
- ターゲット(トラフィックの宛先)を選択します。必ず、作成したVMに割り当てられているlk-nodeタグを選択してください。
- ソース(作業場所のWAN IPアドレス)を選択します。
- 最後に、許可するプロトコルを選択します。入力したすべての値を確認し、ルールを作成します。
これでルールが定義されました。同じ手順で、他のルールも作成します。
このトピックへフィードバック