GSP609

概要

Cloud Next Generation Firewall（Cloud NGFW）は、高度な保護機能、マイクロセグメンテーション、内部および外部の攻撃から Google Cloud ワークロードを広範囲に保護する機能を備えた、完全分散型のファイアウォール サービスです。

グローバル ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのコンテナとして機能します。グローバル ネットワーク ファイアウォール ポリシーで定義されたルールは、ポリシーが VPC ネットワークに関連付けられるまでどこでも適用されません。各 VPC ネットワークには、1 つのネットワーク ファイアウォール ポリシーを関連付けることができます。グローバル ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールで IAM で管理されるタグ（または単にタグ）をサポートしています。これは現在のネットワーク タグに代わるもので、ワークロードに ID を提供するために使用できます。

グローバル ネットワーク ファイアウォール ポリシーを複数のネットワークで共有し、IAM によって管理されるタグと統合することで、ファイアウォールの構成と管理が大幅に簡素化されます。VPC ファイアウォール ルールとグローバル ネットワーク ファイアウォール ポリシーの大きな違いは、VPC ファイアウォール ルールは単一の VPC ネットワークにしか適用できないのに対し、ネットワーク ファイアウォール ポリシーは単一の VPC または VPC のグループにアタッチできることです。その他にも、バッチ更新などのメリットがあります。

デフォルトでは、適用シーケンスは次の図のようになります。

VPC ファイアウォール ルールとグローバル ネットワーク ファイアウォール ポリシーの適用順序は入れ替えることができます。compute networks update gcloud コマンドを使用して、いつでも適用順序を指定できます。

タグ

新しいファイアウォールのタグはネットワーク ファイアウォール ポリシールールに統合されており、Google Cloud リソース階層の組織レベルで定義された Key-Value ペアのリソースです。このようなタグには、名前が示すように、そのタグに対して誰が何を行えるかを指定する IAM アクセス制御が含まれています。たとえば、IAM 権限では、どのプリンシパルが値をタグに割り当てることができるかと、どのプリンシパルがタグをリソースにアタッチできるかを指定できます。タグがリソースに適用されると、ネットワーク ファイアウォール ルールはそれを使用してトラフィックを許可または拒否できます。

タグは Google Cloud の継承リソースモデルに従います。つまり、タグとその値は親から階層全体に伝わっていきます。その結果、タグは 1 か所で作成され、リソース階層全体で他のフォルダやプロジェクトで使用される可能性があります。タグとアクセス制限の詳細については、タグと条件付きアクセスをご覧ください。

タグはネットワーク タグとは異なります。ネットワーク タグは、キーと値ではなく文字列です。VPC ファイアウォール ルールにはネットワーク タグを含めることができますが、クラウド リソースとはみなされないため、IAM アクセス制御の対象ではありません。

前提条件

必須ではありませんが、ネットワークの作成方法とファイアウォール ルールの適用方法を理解するには、カスタム ネットワークを作成してファイアウォール ルールを適用するラボを受講してください。このラボでは、それらの概念を理解していることを前提としています。

学習内容

• Google Cloud プロジェクト内の既存の VPC ファイアウォール ルールを特定する
• VPC ファイアウォール ルールをグローバル ネットワーク ファイアウォール ポリシーに移行する
• ログを確認して移行が機能したことをテストおよび検証する

設定と要件

[ラボを開始] ボタンをクリックする前に

こちらの説明をお読みください。ラボには時間制限があり、一時停止することはできません。タイマーは、Google Cloud のリソースを利用できる時間を示しており、[ラボを開始] をクリックするとスタートします。

このハンズオンラボでは、シミュレーションやデモ環境ではなく実際のクラウド環境を使って、ラボのアクティビティを行います。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、下記が必要です。

• 標準的なインターネット ブラウザ（Chrome を推奨）

注: このラボの実行には、シークレット モード（推奨）またはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウント間の競合を防ぎ、個人アカウントに追加料金が発生しないようにすることができます。

• ラボを完了するための時間（開始後は一時停止できません）

注: このラボでは、受講者アカウントのみを使用してください。別の Google Cloud アカウントを使用すると、そのアカウントに料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるダイアログでお支払い方法を選択してください。 左側の [ラボの詳細] ペインには、以下が表示されます。

   • [Google Cloud コンソールを開く] ボタン
   • 残り時間
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。

   ラボでリソースがスピンアップし、別のタブで [ログイン] ページが表示されます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

   {{{user_0.username | "Username"}}}

   [ラボの詳細] ペインでもユーザー名を確認できます。

4. [次へ] をクリックします。

5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

   {{{user_0.password | "Password"}}}

   [ラボの詳細] ペインでもパスワードを確認できます。

6. [次へ] をクリックします。

   重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

7. その後次のように進みます。

   • 利用規約に同意してください。
   • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスにアクセスするには、ナビゲーション メニューをクリックするか、[検索] フィールドにサービス名またはプロダクト名を入力します。

Cloud Shell をアクティブにする

Cloud Shell は、開発ツールと一緒に読み込まれる仮想マシンです。5 GB の永続ホーム ディレクトリが用意されており、Google Cloud で稼働します。Cloud Shell を使用すると、コマンドラインで Google Cloud リソースにアクセスできます。

1. Google Cloud コンソールの上部にある「Cloud Shell をアクティブにする」アイコン をクリックします。

2. ウィンドウで次の操作を行います。

   • Cloud Shell 情報ウィンドウで操作を進めます。
   • Cloud Shell が認証情報を使用して Google Cloud API を呼び出すことを承認します。

接続した時点で認証が完了しており、プロジェクトに各自の Project_ID、 が設定されます。出力には、このセッションの PROJECT_ID を宣言する次の行が含まれています。

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud は Google Cloud のコマンドライン ツールです。このツールは、Cloud Shell にプリインストールされており、タブ補完がサポートされています。

3. （省略可）次のコマンドを使用すると、有効なアカウント名を一覧表示できます。

gcloud auth list

4. [承認] をクリックします。

出力:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. （省略可）次のコマンドを使用すると、プロジェクト ID を一覧表示できます。

gcloud config list project

出力:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注: Google Cloud における gcloud ドキュメントの全文については、gcloud CLI の概要ガイドをご覧ください。

リージョンとゾーンを設定する

一部の Compute Engine リソースは、リージョン内やゾーン内に存在します。リージョンとは、リソースを実行できる特定の地理的なロケーションです。1 つのリージョンには 1 つ以上のゾーンがあります。

1. Cloud Shell で次の gcloud コマンドを実行して、ラボのデフォルトのリージョンを設定します。

gcloud config set compute/region "{{{project_0.default_region | Region}}}" export REGION=$(gcloud config get compute/region)

2. Cloud Shell で次の gcloud コマンドを実行して、ラボのデフォルトのゾーンを設定します。

gcloud config set compute/zone "{{{project_0.default_zone | Zone}}}" export ZONE=$(gcloud config get compute/zone)

リージョンとゾーンの設定時に警告が表示される場合があります。これは無視して構いません。

3. プロジェクト ID を環境変数として設定します。

export PROJECT_ID=$(gcloud config get-value project)

4. プロジェクト内のネットワークを一覧表示します。

gcloud compute networks list

ネットワーク内の既存の VPC ファイアウォール ルールの数を確認します

1. コンソールのナビゲーション メニューで [VPC ネットワーク] を選択し、このラボで使用できるネットワークを確認します。

2. 各ネットワークを開き、ファイアウォール ルールを確認します。

3. 各 VPC ファイアウォール ルールに関連付けられている優先度をメモします。

4. コンソールで、ファイアウォール ルールに設定されているタグを確認できます。[VPC ネットワーク] に移動し、external-network をクリックします。[ファイアウォール] タブをクリックし、vpc-firewall-rules を展開して、ファイアウォール ルールとそのネットワーク タグを確認します。行の右側にある矢印をクリックして、各行を展開する必要がある場合があります。

5. Cloud Shell で、次のコマンドを実行して external-netowrk のファイアウォール ルールを確認します。

gcloud compute firewall-rules list --filter=network:external-network

タスク 1. グローバル ファイアウォール ルールを作成する

グローバル ネットワーク ファイアウォール ポリシー ルールは、グローバル ネットワーク ファイアウォール ポリシーで作成する必要があります。ルールは、そのルールを含むポリシーを VPC ネットワークに関連付けるまで有効になりません。

各グローバル ネットワーク ファイアウォール ポリシー ルールには、IPv4 または IPv6 の範囲のいずれかを含めることができます。両方を含めることはできません。

gcloud compute firewall-rules create allow-ssh --direction=INGRESS --action=ALLOW --rules=tcp:22 --source-ranges=10.1.0.0/24,10.2.0.0/24 --description "allow-ssh" --network=external-network --target-tags=ssh gcloud compute firewall-rules create allow-web \ --allow tcp:80,tcp:443 \ --description "allow-web" \ --source-ranges 10.0.0.0/16 \ --network=external-network \ --target-tags=web 注: Cloud Next Generation Firewall ルールには暗黙のイングレス拒否ルールがあるため、許可するものを定義する必要があります。

4. [省略可] このラボでは、適切な権限がすでに選択されています。コンソールのナビゲーション メニューから、[IAM と管理] を選択します。このラボで付与された権限が表示されます。割り当てられるロールは次のとおりです。

compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer resourcemanager.tagAdmin resourcemanager.tagViewer resourcemanager.tagUser

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 グローバル ファイアウォール ルールを作成する。

タスク 2. 既存のネットワーク タグの詳細を保存する

次に、既存のネットワーク タグの詳細を保存する JSON ファイルを作成します。

ネットワーク内のネットワーク タグをマッピング用の JSON ファイルにエクスポートするには、--export-tag-mapping フラグを指定して compute firewall-rules migrate コマンドを実行します。

次のように置き換えます。

NETWORK_NAME: 移行する VPC ファイアウォール ルールを含む VPC ネットワークの名前。このラボでは external-network を使用します。

TAG_MAPPING_FILE: JSON マッピング ファイルの名前を作成します。

gcloud beta compute firewall-rules migrate \ --source-network=NETWORK_NAME \ --export-tag-mapping \ --tag-mapping-file=TAG_MAPPING_FILE VPC ネットワーク「external-network」に関連付けられた VPC ファイアウォールとネットワーク ファイアウォール ポリシーを検索しています。 VPC ネットワーク「external-network」に関連付けられたネットワーク ファイアウォール ポリシーは 0 件です。 VPC ネットワーク「external-network」に関連付けられた VPC ファイアウォールが 1 つ見つかりました。 VPC ファイアウォールをフィルタリングするために使用される 8 つのパターン: gke-(.+)-ipv6-all gke-(.+)-(.+)-((master)|(vms)|(all)|(inkubelet)|(exkubelet)|(mcsd)) k8s-fw-(l7-)?(.+) k8s-(.+)-((node)|(http)|(node-http))-hc (.+)-hc k8s2-(.+)-(.+)-(.+)-(.+)(-fw)? k8s2-(.+)-l4-shared-hc-fw gke((gw)|(mcg))1-l7-(.+)-(.+)

タスク 3. セキュアタグを作成する

マッピング ファイルに記述したネットワーク タグに基づいて、ネットワークで対応するセキュアタグを作成します。

新しいセキュアタグは、ネットワーク タグの代わりとして機能し、移行後も元のネットワーク構成を保持します。

• TAG_KEY は、タグ付けする情報の種類を定義します。
• TAG_VALUE は、割り当てる特定の情報を定義します。

これらを組み合わせることで、Google Cloud リソースを柔軟かつ効果的に管理できる Key-Value ペアが形成されます。

1. まず、TAG_KEY を作成します。

次のように置き換えます。

• TAG_KEY: タグキーの名前。タグのカテゴリまたは分類を定義します。このラボでは vpc-tags を使用します。
• PROJECT_ID: このラボの変数としてすでに定義済みです。
• NETWORK_NAME: VPC ネットワークの名前。external-network を使用します。
• TAG_VALUE: TAG_KEY の特定の属性。このラボでは、ssh、external、web を使用します。

gcloud resource-manager tags keys create TAG_KEY \ --parent projects/$PROJECT_ID \ --purpose GCE_FIREWALL \ --purpose-data network=$PROJECT_ID/NETWORK_NAME

2. 次に、3 つの TAG_VALUES を作成します。ファイアウォール ルールごとに 1 つずつ作成します。

gcloud resource-manager tags values create TAG_VALUE \ --parent=$PROJECT_ID/TAG_KEY gcloud resource-manager tags values create TAG_VALUE \ --parent=$PROJECT_ID/TAG_KEY gcloud resource-manager tags values create TAG_VALUE \ --parent=$PROJECT_ID/TAG_KEY 注: セキュアなタグキーを作成する場合は、--purpose フィールドの値を GCE_FIREWALL に設定する必要があります。これらのセキュアタグには、それぞれ 1 つのターゲット VPC ネットワークが必要です。タグは、その VPC ネットワーク内のネットワーク インターフェースにのみ関連付けることができます。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 セキュアタグを作成する。

タスク 4. ネットワーク タグとサービス アカウントをタグにマッピングする

VPC ファイアウォール ルールで使用される各ネットワーク タグに IAM 管理のセキュアタグを作成したら、マッピング用の JSON ファイルで、対応するネットワーク タグにタグをマッピングします。

• JSON ファイルを編集して、ネットワーク タグを対応するセキュアタグにマッピングします。Cloud Shell エディタまたは任意のエディタを使用できます。形式は以下のとおりです。

{ "external": "tagValues/the numeric value for TAG_VALUE", "ssh": "tagValues/the numeric value for TAG_VALUE", "web": "tagValues/the numeric value for TAG_VALUE" }

前のコマンドの出力で、TAG_VALUE の数値がわかります。

タスク 5. タグを VM にバインドする

タグマッピングの JSON ファイルに基づいて、既存のネットワーク タグが接続されている VM に新しく作成されたセキュアタグをバインドします。

• --bind-tags-to-instances フラグを指定して compute firewall-rules migrate コマンドを使用する。

次のように置き換えます。

NETWORK_NAME: VPC ネットワークの名前。

TAG_MAPPING_FILE: マッピング用の JSON ファイルの名前。

gcloud beta compute firewall-rules migrate \ --source-network=NETWORK_NAME \ --bind-tags-to-instances \ --tag-mapping-file=TAG_MAPPING_FILE 注: --bind-tags-to-instances フラグは、実行中の VM にのみセキュアタグをバインドします。また、ネットワーク内の VM がインスタンス テンプレートで作成されている場合、または VM が Google Kubernetes Engine（GKE）クラスタの一部である場合は、セキュアタグを手動でバインドする必要があります。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 タグを VM にバインドする。

タスク 6. VPC ファイアウォール ルールをグローバル ネットワーク ファイアウォールに移行する

• VPC ファイアウォール ルールをグローバル ネットワーク ファイアウォール ポリシーに移行する - gcloud beta compute firewall-rules migrate コマンドを使用します。

次のように置き換えます。

NETWORK_NAME: 移行するファイアウォール ルールを含む VPC ネットワークの名前。これを external-network に置き換えます。

POLICY_NAME: 移行中に作成するグローバル ネットワーク ファイアウォール ポリシーの名前。

gcloud beta compute firewall-rules migrate \ --source-network=NETWORK_NAME \ --tag-mapping-file=FILE_NAME \ --target-firewall-policy=POLICY_NAME 注: --exclusion-patterns-file フラグを使用すると、特定のファイアウォール ルールを移行から除外できますが、このラボでは扱いません。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 VPC ファイアウォール ルールをグローバル ネットワーク ファイアウォールに移行する。

タスク 7. VM タグを確認する

新しく作成したグローバル ポリシーを VPC ネットワークに関連付ける前に、ポリシーを確認して移行プロセスが正確に完了していることを確認することをおすすめします。

セキュアタグが正しい VM に接続されているかどうかを確認します。resource-manager tags bindings list コマンドを使用する。

1. コンソールで、[VPC ネットワーク] > [ファイアウォール] に移動します。
2. 下までスクロールして [ネットワーク ファイアウォール ポリシー] セクションを表示し、ポリシーを確認します。
3. 作成したファイアウォール ポリシーの名前をクリックします。
4. ファイアウォール ルールの行を開き、ターゲットタグが正しいことを確認します。

タスク 8. グローバル ネットワーク ファイアウォール ポリシーをネットワークに関連付ける

移行ツールは、既存の VPC ファイアウォール ルールに基づいてグローバル ネットワーク ファイアウォール ポリシーを作成します。ポリシーを必要な VPC ネットワークに手動で関連付けると、そのネットワーク内の VM でポリシールールが有効になります。グローバル ネットワーク ファイアウォール ポリシーを関連付けるには、compute network-firewall-policies associations create コマンドを使用します。

• [ファイアウォール ポリシーの詳細] ページで、[関連付け] タブをクリックします。
• [関連付けを追加] タブをクリックします。
• [external-network] の横にあるチェックボックスをオンにして、[関連付け] をクリックします。

関連付けが終わると、関連するネットワークの VM に対してポリシーのルールがアクティブになります。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 グローバル ネットワーク ファイアウォール ポリシーをネットワークに関連付ける。

タスク 9. ポリシーとルールの評価の順序を変更する

デフォルトでは、Cloud Next Generation Firewall はグローバル ネットワーク ファイアウォール ポリシーを評価する前に VPC ファイアウォール ルールを評価します。グローバル ネットワーク ファイアウォール ポリシーが VPC ファイアウォール ルールよりも優先されるようにするには、compute networks update コマンドを使用してルールの評価順序を変更します。

1. NETWORK_NAME は、VPC ネットワーク名に置き換えてください。

gcloud compute networks update NETWORK_NAME \ --network-firewall-policy-enforcement-order=BEFORE_CLASSIC_FIREWALL

2. グローバル ネットワーク ファイアウォール ポリシーが VPC ファイアウォール ルールの前に評価されるかどうかを確認するには、compute networks get-effective-firewalls コマンドを使用します。

gcloud compute networks get-effective-firewalls NETWORK_NAME | grep "TYPE:"

上記のコマンドの出力で、TYPE: network-firewall-policy が TYPE: network-firewall の前に表示されている場合は、グローバル ネットワーク ファイアウォール ポリシーが最初に評価されます。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 ポリシーとルールの評価の順序を変更する。

タスク 10. ファイアウォール ルールのロギングを有効にする

ファイアウォール ルール ロギングを使用すると、ファイアウォール ルールの効果を監査、検証、分析できます。 このロギングを使用すると、たとえば、トラフィックを拒否するように指定されたファイアウォール ルールが意図したとおりに機能しているかどうかを確認できます。ファイアウォール ルールのロギングは、特定のファイアウォール ルールによって影響を受ける接続数を確認する必要がある場合にも役立ちます。

ロギングを使用すると、ファイアウォール ルールが意図したとおりに機能しているかどうか確認できます。 移行ツールは、新しいグローバル ネットワーク ファイアウォール ポリシーを作成するときに、既存の VPC ファイアウォール ルールのロギング ステータスを保持します。ファイアウォール ポリシー ルールのロギングを有効にするには、compute network-firewall-policies rules update コマンドを使用し、優先順位を追加して、グローバル ポリシーが従来の VPC ファイアウォール ルールよりも優先されるようにします。

次のように置き換えます。

POLICY_NAME: ルールを更新するグローバル ネットワーク ファイアウォール ポリシーの名前。

gcloud compute network-firewall-policies rules update 1000 --firewall-policy=POLICY_NAME --enable-logging --global-firewall-policy

ファイアウォール ポリシーがネットワークにアタッチされていることを確認するには、Cloud コンソールで [VPC ネットワーク] に戻り、[external-network] > [ファイアウォール] をクリックします。

注: 組織に適用される階層型ファイアウォール ポリシーが表示されます。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 ファイアウォール ルールのロギングを有効にする。

タスク 11. グローバル ネットワーク ファイアウォール ポリシーをテストする

ヒット数を継続的にモニタリングすると、徐々に新しいルールに移行していることがわかります。最終的に従来のルールのヒット数はゼロになります。この時点で古いルールを無効にして、考えられる悪影響について検証できるはずです。それを終えたら、従来の古い VPC ファイアウォール ルールを削除してください。

ネットワーク レベルのアクセスをテストします。承認された外部ネットワークに接続していれば、アクセスできます。ない場合はブロックされます。

グローバル ファイアウォール ルールがあるネットワークにトラフィックを送信します。VPC ネットワーク内の VM の外部 IP アドレスを取得する必要があります。

1. ナビゲーション メニューで、[Compute Engine] > [VM インスタンス] をクリックします。
2. external-server の外部 IP をコピーします。
3. 外部 IP に ping を送信してトラフィックを生成します。

ping -c 20 <外部 IP を入力>

ログ エクスプローラに移動して結果を確認します。

ログを調べる

コンソールで、[ログ エクスプローラ] ページに移動します。

1. Google Cloud の検索バーで「logging」を検索し、[ログ エクスプローラ] を右クリックして新しいタブを開きます。
2. [すべてのリソース] > [サブネットワーク] をクリックし、[適用] をクリックします。
3. 結果を調べて、ファイアウォールの名前を探します。名前が VPC ファイアウォールからグローバル ファイアウォール ポリシーに変更されていることがわかります。結果は以下のようになります。

省略可 - 接続の確認

このテストでは、Network Intelligence Center を使用します。

1. Google Cloud の検索バーで「connectivity」を検索し、結果から [接続テスト] を選択します。
2. Network Management API を有効にする。
3. VPC ネットワーク内の VM の外部 IP アドレスを取得する必要があります。ナビゲーション メニューで [Compute Engine] を右クリックして新しいウィンドウを開き、[VM インスタンス] をクリックします。
4. external-server の外部 IP をコピーします。
5. [接続テストを作成] 画面で、[接続テストを作成] をクリックします。
6. テストに名前を付け、IP アドレスを [送信元 IP] フィールドに貼り付けます。
7. [VM インスタンス] タブに戻り、internal-server-1 の外部 IP をコピーします。
8. [接続テストを作成] 画面で、IP アドレスを [宛先] フィールドに貼り付けます。
9. [作成] をクリックします。

テストが失敗したことがわかります。internal-server-1 への TCP トラフィックを許可するファイアウォール ルール ポリシーがないためです。

今度は方向を変えてテストを繰り返します。internal-server-1 の IP を送信元 IP として追加し、external-server を宛先として追加します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 グローバル ネットワーク ファイアウォール ポリシーをテストする

タスク 12. ネットワークから VPC ファイアウォール ルールを削除する

完全に削除する前に、VPC ファイアウォール ルールを無効にすることをおすすめします。移行ツールで作成されたグローバル ネットワーク ファイアウォール ポリシーが想定どおりの結果を提供できない場合は、これらのルールに戻すことができます。このラボでは、VPC ファイアウォール ルールがグローバル ファイアウォール ポリシーに移行されたので、すぐに削除に進みます。

必ず個々のファイアウォール ルール名を使用してください。

1. VPC ファイアウォール ルールを無効にするには、compute firewall-rules update コマンドを使用します。

RULE_NAME は、無効にする VPC ファイアウォール ルールの名前に置き換えます。

gcloud compute firewall-rules update RULE_NAME --disabled

2. VPC ファイアウォール ルールを削除するには、compute firewall-rules delete コマンドを使用します。

gcloud compute firewall-rules delete RULE_NAME

省略可: コンソールでファイアウォール ルールを削除する。

1. コンソールに戻り、[VPC ネットワーク] に移動します。
2. [external-network] をクリックし、[ファイアウォール] タブをクリックします。
3. [VPC ネットワーク ルール] 切り替えボタンを開きます。
4. 2 つのファイアウォール ルールを選択し、[削除] をクリックします。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 ネットワークから VPC ファイアウォール ルールを削除する

お疲れさまでした

タグ付きの VPC ファイアウォール ルールをグローバル ファイアウォール ポリシーに移行し、2 つのネットワークに適用して、機能していることを確認し、削除に備えて従来のファイアウォール ルールを無効にする方法を学びました。

次のステップ

• 従来の VPC ファイアウォール ルールから Cloud NGFW への移行に関する Google Cloud ネットワーキングのブログ投稿を読む。
• 次世代ファイアウォール ルールの作成の詳細をご覧ください。
• VPC ファイアウォール ルールの移行ツールについては、このページをブックマークして、後で参照できるようにしてください。
• グローバル ネットワーク ファイアウォール ポリシーに関する IAM ロールとタグの IAM ロールに関する以下の記事をお読みください。

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2025 年 4 月 3 日

ラボの最終テスト日: 2025 年 4 月 3 日

Copyright 2026 Google LLC. All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。