Google Cloud VPC 入門　ネットワークタグでアクセス制御をしよう

本記事はネットワークウィーク 12日目の記事です。
💻 11日目 ▶▶ 本記事 ▶▶ 13日目 🌐

1. はじめに
2 NWタグの設定手順
3 アクセス制御確認
4 まとめ

こんにちは。横田です。本ブログでは、ネットワークタグを活用してCompute Engineへのアクセス制御を行う方法についてお話します。想定する読者層は以下の通りです。

Google Cloudのネットワークに興味がある人
ネットワークタグを使い始めた人

1. はじめに

使用するサービスは Virtual Private Cloud（以下、VPC）と Compute Engine（以下、VMインスタンス）です。 VMインスタンスへのアクセス制御には、ネットワークタグ制御方式を利用します。この方式を利用することで、特定のタグを持つ VM インスタンス群に対して、ファイアウォールルール（以下、FWルール）を適用することが可能になります。 VMインスタンスが動的 IP を持っている場合、停止・起動によって IP アドレスが変更されることがあります。しかし、ネットワークタグによってアクセス制御を行うことで、FWルールの変更が不要となり、ネットワーク設定の効率化が期待できます。ネットワークタグとは、VMインスタンスにラベルを付与する仕組みであり、FWルールやルーティングの適用対象を制御するために使用されます。

構成図は以下の通りです。 VPCを作成しファイアウォールルール (AWSでいうセキュリティグループに相当)の設定時にネットワークタグを設定します。 FWルールとVMインスタンスに同じタグを設定し、VMインスタンスの役割やグループに基づいたアクセス制御を実現します。

2 NWタグの設定手順

早速、設定していきます。

2.1 FWルールにネットワークタグを設定

FWルールとVMインスタンスの関連付けを行うために、FWルールにネットワークタグを設定します。 VPCネットワークのコンソールからサイドメニューの「ファイアウォール」をクリックします。

該当のFWルールを選択し、詳細画面から「編集」をクリックします。

「ターゲット」と「ターゲットタグ」を下図のように設定し、「保存」をクリックします。

これでFWルールへのネットワークタグの設定が完了しました。今回はFWルールとネットワークタグに同じ名前を使用していますが、任意の分かりやすい名前で問題ありません。

2.2 VMインスタンスにネットワークタグを設定

次に、VMインスタンスへネットワークタグを設定します。 Compute Engineのコンソールから該当のVMインスタンスを選択し、「編集」をクリックします。

「ネットワークタグ」に先ほど作成したタグを入力し、「保存」をクリックします。

これでVMインスタンスへのタグ設定も完了です。

2.3 SSH接続確認方法

今回はコンソール画面からSSH接続を行い動作確認をします。 VMインスタンスのコンソール画面から「SSH」をクリックします。

ログイン時に承認画面が出てくるので「Authorize」をクリックします。下図の画面が表示されればSSH接続は完了です。

3 アクセス制御確認

ネットワークタグの有無によるアクセス制御の違いを表にまとめました。

	FWルールのタグ	VMのタグ	ネットワークタグによる関連付け	接続可否	補足説明
1	あり	あり	あり(同じタグで関連付け)	〇	同じネットワークタグが設定されているため、FWルールとVMインスタンスが関連付けられ、接続可能。
2	あり	なし	なし (関連付け不可)	×	VMインスタンス側にタグがないため、FWルールと関連付けができず、接続不可。
3	なし	あり	なし (FWルールなし)	〇	FWルールにタグが無いため、FWルールがそのまま適用され、接続可能。
4	なし	なし	なし (FWルールなし)	〇	タグ設定がなくても、FWルールがそのまま適用され、接続可能。

表について少し説明します。 FWルールにタグが付いていない3、4の場合が少しややこしいかもしれません。構成図に戻ってみると、通信の経路はFWルールを通ってVMインスタンスに到達しています。この場合、FWルール(タグなし)を通過した後にVMインスタンス(タグあり)に到達しているため、FWルールがそのまま適用されて (FWルールにタグがない状態)、VMインスタンスに到達します。そのためFWルールにタグが付いていない場合もFWルールの条件(IPレンジやポート)が一致していれば接続が可能になります。