ネットワーク エンジニアやソリューション アーキテクトの方は、ネットワーク アーキテクチャのセキュリテイやプライバシーの強化が必要になる場面を経験するかもしれません。たとえば、外部ネットワーク、もしくは公共のインターネットへの接続を開始するために特定のリソースが必要だが、プライベート リソースにアクセスしようとする不正な接続は拒否したいといった場面です。

AWS では、ユーザーがサービスとリソース（EC2 インスタンスなど）への接続を許可する際にきめ細かく制御できるように、さまざまな戦略を設定します。

• AWS Systems Manager Session Manager を使用して、SSH 認証鍵、踏み台インスタンス、および開いているポートなしで EC2 インスタンスとやり取りする
• VPC エンドポイント（ゲートウェイとインターフェースの両方）を作成し、AWS PrivateLink テクノロジーを利用して、トラフィックを公共のインターネットに公開することなく VPC を AWS サービス（S3 など）に接続する
• プライベート IP をネットワーク アドレス変換（NAT）ゲートウェイ経由でマッピングし、プライベート ネットワークを安全にインターネットに接続できるようにする

以上の内容を踏まえると、Google Cloud で作業する際に以下のような疑問を持たれるかもしれません。

• Google Cloud ではどのようにプライベート接続を維持できるのか
• 公共のインターネットに公開していない仮想マシン（VM）にどのように接続し、これを操作できるのか
• ネットワークのトラフィックのきめ細かい制御をどのように実行できるのか

それでは、Google Cloud のネットワーク アーキテクチャのセキュリティを確保する方法を学んでいきましょう。

概要

このラボでは、外部 IP アドレスを設定していない VM インスタンスに対して、プライベート Google アクセスと Cloud NAT を実装します。その後、Google の API およびサービスのパブリック IP アドレスへのアクセスと、その他のインターネット接続を検証します。

外部 IP アドレスを設定していない VM インスタンスは、外部ネットワークから隔離されています。Cloud NAT を使用すると、これらのインスタンスがインターネットにアクセスして、更新、パッチ適用、場合によってはブートストラッピングを実行することが可能になります。Cloud NAT はマネージド サービスとして高可用性を実現します。その際にユーザーによる管理や介入は必要ありません。

目標

このラボでは、次のタスクの実行方法について学びます。

• 外部 IP アドレスが設定されていない VM インスタンスを構成する
• Identity-Aware Proxy（IAP）トンネルを使って VM インスタンスに接続する
• サブネットでプライベート Google アクセスを有効にする
• Cloud NAT ゲートウェイを構成する
• Google の API およびサービスのパブリック IP アドレスへのアクセスと、その他のインターネット接続を検証する

各ラボでは、新しい Google Cloud プロジェクトとリソースセットを一定時間無料で利用できます。

1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。 左側の [ラボの詳細] パネルには、以下が表示されます。

   • [Google Cloud コンソールを開く] ボタン
   • 残り時間
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。

   ラボでリソースが起動し、別のタブで [ログイン] ページが表示されます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

   {{{user_0.username | "Username"}}}

   [ラボの詳細] パネルでもユーザー名を確認できます。

4. [次へ] をクリックします。

5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

   {{{user_0.password | "Password"}}}

   [ラボの詳細] パネルでもパスワードを確認できます。

6. [次へ] をクリックします。

   重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

7. その後次のように進みます。

   • 利用規約に同意してください。
   • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスのリストを含むメニューを表示するには、左上のナビゲーション メニューをクリックするか、[検索] フィールドにサービス名またはプロダクト名を入力します。

タスク 1. VM インスタンスを作成する

いくつかのファイアウォール ルールを含む VPC ネットワークと、外部 IP アドレスが設定されていない VM インスタンスを作成し、IAP トンネルを使用してそのインスタンスに接続します。

VPC ネットワークとファイアウォール ルールを作成する

まず、VM インスタンス用の VPC ネットワークと、SSH 接続を許可するファイアウォール ルールを作成します。

1. Cloud コンソールのナビゲーション メニュー（）で [VPC ネットワーク] > [VPC ネットワーク] の順にクリックします。

2. [VPC ネットワークを作成] をクリックします。

3. [名前] に「privatenet」と入力します。

4. [サブネット] で [カスタム] をクリックします。

5. [新しいサブネット] で、次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	privatenet-us
   リージョン
   IPv4 アドレス範囲	10.130.0.0/20

注: [プライベート Google アクセス] はまだ有効にしないでください。

6. [完了] をクリックします。

7. [作成] をクリックし、ネットワークが作成されるまで待ちます。

8. 左側のペインで、[ファイアウォール] をクリックします。

9. [ファイアウォール ルールを作成] をクリックします。

10. 次のように指定し、残りの設定はデフォルトのままにします。

    プロパティ	値（値を入力するか、指定されたオプションを選択）
    名前	privatenet-allow-ssh
    ネットワーク	privatenet
    ターゲット	ネットワーク上のすべてのインスタンス
    ソースフィルタ	IPv4 範囲
    送信元 IPv4 範囲	35.235.240.0/20
    プロトコルとポート	指定したプロトコルとポート

11. [TCP] の場合、チェックボックスをクリックし、ポート「22」を指定します。

12. [作成] をクリックします。

注: SSH を使用してプライベート インスタンスに接続するには、ファイアウォールの適切なポートを開く必要があります。IAP 接続の接続元では、特定の IP アドレスのセット（35.235.240.0/20）が使用されます。したがって、ルールをこの CIDR 範囲に制限できます。

パブリック IP アドレスが設定されていない VM インスタンスを作成する

1. Cloud コンソールのナビゲーション メニュー（）で、[Compute Engine] > [VM インスタンス] をクリックします。

2. [インスタンスを作成] をクリックします。

3. [マシンの構成] ページで、次の設定を指定します。残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	vm-internal
   リージョン
   ゾーン
   シリーズ	E2
   マシンタイプ	e2-medium（2 個の vCPU、4 GB メモリ）

4. [OS とストレージ] をクリックします。

5. 表示されるイメージが「Debian GNU/Linux 12（bookworm）」でない場合は、[変更] をクリックして [Debian GNU/Linux 12（bookworm）] を選択し、[選択] をクリックします。

6. [ネットワーキング] をクリックします。

7. [ネットワーク インターフェース] で、次の値を指定してネットワーク インターフェースを編集します。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   ネットワーク	privatenet
   サブネットワーク	privatenet-us
   外部 IPv4 アドレス	なし

注: デフォルトでは、VM インスタンスにはエフェメラル外部 IP アドレスが設定されています。これは、組織レベルまたはプロジェクト レベルでポリシー制約を設定することで変更できます。VM インスタンスの外部 IP アドレスの制御について詳しくは、外部 IP アドレスに関するドキュメントをご覧ください。

8. [完了] をクリックします。
9. [作成] をクリックし、VM インスタンスが作成されるまで待ちます。
10. [VM インスタンス] ページで [vm-internal] の [外部 IP] が [なし] になっていることを確認します。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 VM インスタンスを作成する

SSH で vm-internal にアクセスして IAP トンネルをテストする

1. Google Cloud コンソールで、Cloud Shell をアクティブにするアイコン（）をクリックします。
2. プロンプトが表示されたら、[続行] をクリックします。
3. 次のコマンドを実行して vm-internal に接続します。

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

4. プロンプトが表示されたら、[承認] をクリックします。
5. 続行するかどうかを確認するメッセージが表示されたら、「Y」と入力します。
6. パスフレーズの入力を求められたら、Enter キーを押します。
7. 同じパスフレーズの入力を求められたら、Enter キーを押します。

8. 次のコマンドを実行して vm-internal の外部接続をテストします。

ping -c 2 www.google.com

vm-internal には外部 IP アドレスが設定されていないので、これは動作しないはずです。

9. ping コマンドが完了するのを待ちます。
10. 次のコマンドを実行して Cloud Shell インスタンスに戻ります。

exit 注: 外部 IP アドレスが設定されていないインスタンスに、同じネットワーク上にある他のインスタンスからアクセスするには、マネージド VPN ゲートウェイまたは Cloud IAP トンネルを経由する必要があります。Cloud IAP を使用すると、踏み台インスタンスがなくても、SSH や RDP を経由した VM へのコンテキストアウェア アクセスが可能になります。詳しくは、こちらのブログ投稿をご覧ください。

タスク 2. プライベート Google アクセスを有効にする

外部 IP アドレスが設定されていない VM インスタンスでプライベート Google アクセスを使用すると、Google の API およびサービスの外部 IP アドレスにアクセスできます。プライベート Google アクセスは、デフォルトでは VPC ネットワークで無効になっています。

Cloud Storage バケットを作成する

Google の API およびサービスへのアクセスをテストするための Cloud Storage バケットを作成します。

1. Cloud コンソールのナビゲーション メニュー（）で、[Cloud Storage] > [バケット] をクリックします。

2. [作成] をクリックします。

3. 次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	グローバルに一意の名前を入力
   ロケーション タイプ	マルチリージョン

4. [作成] をクリックします。パブリック アクセスの防止を有効にするよう求められたら、その設定がオンになっていることを確認して [確認] をクリックします。 ストレージ バケットの名前をメモしておきます。

5. バケットの名前を環境変数に格納します。

export MY_BUCKET=[ここにバケット名を入力]

6. echo で確認します。

echo $MY_BUCKET

バケットに画像ファイルをコピーする

Cloud Storage の公開バケットから自分のバケットに画像をコピーします。

1. Cloud Shell で、次のコマンドを実行します。

gcloud storage cp gs://cloud-training/gcpnet/private/access.svg gs://$MY_BUCKET

2. Google Cloud コンソールで、バケット名をクリックして、画像がコピーされたことを確認します。

Google Cloud コンソール内の画像の名前をクリックすると、プライベート Google アクセスの実装例が表示されます。

VM インスタンスから画像にアクセスする

1. Cloud Shell で、次のコマンドを実行してバケットから画像をコピーします。

gcloud storage cp gs://$MY_BUCKET/*.svg .

Cloud Shell には外部 IP アドレスが設定されているので、これは正常に動作するはずです。

2. 次のコマンドを実行して vm-internal に接続します。

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

3. プロンプトが表示されたら、「Y」と入力して続行します。

4. バケットの名前を環境変数に格納します。

export MY_BUCKET=[ここにバケット名を入力]

5. echo で確認します。

echo $MY_BUCKET

6. 画像が vm-internal にコピーされるように、次のコマンドを実行します。

gcloud storage cp gs://$MY_BUCKET/*.svg .

プライベート Google アクセスが無効になっているため（デフォルト）、これは正常に動作しないはずです。vm-internal がトラフィックを送信できるのは VPC ネットワーク内に限られます。

7. Ctrl+Z キーを押してリクエストを停止します。

プライベート Google アクセスを有効にする

プライベート Google アクセスは、サブネット レベルで有効になっています。この場合、サブネット内でプライベート IP アドレスしか設定されていないインスタンスは、デフォルト ルート（0.0.0.0/0）を通じて Google の　API およびサービスにトラフィックを送信できます。このとき、デフォルト インターネット ゲートウェイへのネクストホップを使用します。

1. Google Cloud コンソールのナビゲーション メニュー（）で [VPC ネットワーク] > [VPC ネットワーク] をクリックします。
2. [privatenet] をクリックしてネットワークを開きます。
3. [サブネット] をクリックし、[privatenet-us] をクリックします。
4. [編集] をクリックします。
5. [プライベート Google アクセス] で [オン] を選択します。
6. [保存] をクリックします。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 Cloud Storage バケットを作成してプライベート Google アクセスを有効にする

注: サブネット内で [オン] を選択するだけで、プライベート Google アクセスが有効になります。

7. Cloud Shell の vm-internal で次のコマンドを実行し、画像を vm-internal にコピーします。

gcloud storage cp gs://$MY_BUCKET/*.svg .

vm-internal のサブネットでプライベート Google アクセスが有効化されているため、これは正常に動作するはずです。

8. 次のコマンドを実行して Cloud Shell インスタンスに戻ります。

exit

9. Cloud Shell インスタンスに戻る必要がある場合は、もう一度「exit」と入力します。 exit

注: プライベート Google アクセスで使用できる対象の API とサービスを確認するには、サービスのプライベート アクセス オプションのガイドをご覧ください。

タスク 3. Cloud NAT ゲートウェイを構成する

vm-internal は、外部 IP アドレスがなくても Google の特定の API およびサービスにアクセスできるようになりましたが、更新やパッチ適用のためにインターネットにアクセスすることはできません。Cloud NAT ゲートウェイを構成すると、vm-internal からインターネットに接続できるようになります。

VM インスタンスの更新を試してみる

1. Cloud Shell で次のコマンドを実行して、パッケージ インデックスを再び同期してみます。

sudo apt-get update

出力の最後は次のように表示されます（出力例です）。

... Reading package lists... Done

Cloud Shell には外部 IP アドレスが設定されているので、これは正常に動作するはずです。

2. 次のコマンドを実行して vm-internal に接続します。

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

3. プロンプトが表示されたら、「Y」と入力して続行します。
4. 次のコマンドを実行して、vm-internal のパッケージ インデックスを再び同期してみます。

sudo apt-get update

vm-internal がアクセスできるのは Google の API およびサービスだけであるため、これは Google Cloud パッケージでのみ正常に動作するはずです。

5. Ctrl+C キーを押してリクエストを停止します。

Cloud NAT ゲートウェイを構成する

Cloud NAT はリージョン リソースです。範囲を限定せずリージョン内の全サブネットのトラフィックを許可する構成のほか、リージョン内の特定のサブネットのみを許可する構成、プライマリ CIDR やセカンダリ CIDR の特定範囲のみを許可する構成も可能です。

1. Google Cloud コンソールのタイトルバーにある検索フィールドに「ネットワーク サービス」と入力し、[プロダクトとページ] セクションの [ネットワーク サービス] をクリックします。

2. [ネットワーク サービス] ページで、[ネットワーク サービス] の横にある固定アイコンをクリックします。

3. [Cloud NAT] をクリックします。

4. [開始] をクリックして NAT ゲートウェイを構成します。

5. 以下を指定します。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   ゲートウェイの名前	nat-config
   ネットワーク	privatenet
   リージョン

6. [Cloud Router] で、[新しいルーターを作成] を選択します。

7. [名前] に「nat-router」と入力します。

8. [作成] をクリックします。

注: NAT マッピングのセクションでは、NAT ゲートウェイにマッピングするサブネットを選択できます。NAT の実行時に使用する静的 IP アドレスを手動で割り当てることも可能です。このラボでは NAT マッピングの構成は変更しないでください。

9. [作成] をクリックします。
10. ゲートウェイのステータスが [実行中] になるまで待ちます。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 Cloud NAT ゲートウェイを構成する

Cloud NAT ゲートウェイを検証する

NAT 構成が VM に反映されるまで最長で 3 分ほどかかります。少なくとも 1 分待ってからもう一度インターネットにアクセスしてみてください。

1. vm-internal 用の Cloud Shell で次のコマンドを実行して、vm-internal のパッケージ インデックスを再び同期してみます。

sudo apt-get update

出力の最後は次のように表示されます（出力例です）。

... Reading package lists... Done

vm-internal で NAT ゲートウェイを使用しているため、これは正常に動作するはずです。

2. 次のコマンドを実行して Cloud Shell インスタンスに戻ります。

exit 注: Cloud NAT ゲートウェイによって送信 NAT が実装されますが、受信 NAT は実装されません。つまり、VPC ネットワークの外部にあるホストは、インスタンスによって開始された接続にのみ応答できます。Cloud NAT を使用して、外部ホスト側からインスタンスとの新しい接続を開始することはできません。

タスク 4. Cloud NAT ロギングでログを構成して表示する

Cloud NAT ロギングを使用すると、Cloud NAT の接続とエラーをログに記録できます。Cloud NAT ロギングを有効にすると、次のシナリオごとに 1 つのログエントリを生成できます。

• Cloud NAT を使用するネットワーク接続が作成された。
• Cloud NAT に使用可能なポートがないことが原因でパケットが破棄された。

両方のイベントを記録するか、一方だけを記録するかを選べます。作成されたログは Cloud Logging に送信されます。

ロギングを有効にする

ロギングが有効になっている場合、収集されたすべてのログはデフォルトで Cloud Logging に送信されます。特定のログのみが送信されるように、フィルタすることもできます。

これらの値は、Cloud NAT ゲートウェイを作成する際や作成済みの Cloud NAT ゲートウェイを編集する際に指定できます。以下の手順では、既存の Cloud NAT ゲートウェイのロギングを有効にする方法を説明します。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[ネットワーク サービス] > [Cloud NAT] の順にクリックします。

2. nat-config ゲートウェイをクリックしてから、[編集] をクリックします。

3. [高度な構成] プルダウンをクリックして、そのセクションを開きます。

4. [ロギング] で [変換とエラー] を選択し、[保存] をクリックします。

Cloud Logging の Cloud NAT ロギング

nat-config ゲートウェイの Cloud NAT ロギングを設定したので、ログを表示できる場所を確認しましょう。

1. nat-config をクリックして詳細を表示します。[ログ エクスプローラで表示] をクリックします。

2. 新しいタブが開き、ログ エクスプローラが表示されます。

ゲートウェイに対してこの機能を有効にしたばかりなので、ログはまだ記録されていません。

注: このタブを開いたままにして、Google Cloud コンソールのタブに戻ります。

ログの生成

前述のとおり、Cloud NAT のログは次のシーケンスに対して生成されます。

• Cloud NAT を使用するネットワーク接続が作成された。
• Cloud NAT に使用可能なポートがないことが原因でパケットが破棄された。

ホストを内部 VM に再び接続して、ログが生成されるかどうかを確認しましょう。

1. vm-internal 用の Cloud Shell で次のコマンドを実行して、vm-internal のパッケージ インデックスを再び同期してみます。

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

2. プロンプトが表示されたら、「Y」と入力して続行します。
3. 次のコマンドを実行して、vm-internal のパッケージ インデックスを再び同期してみます。

sudo apt-get update

出力は次の例のようになります（出力例）。

... Reading package lists... Done

4. 次のコマンドを実行して Cloud Shell インスタンスに戻ります。

exit

この接続を開始したことで、ログに新しいエントリが記録されたかどうかを確認しましょう。

ログの表示

• [ログ エクスプローラ] タブに戻り、ナビゲーション メニューの [ログ エクスプローラ] をクリックします。

内部 VM への接続後に生成された 2 つの新しいログが表示されます。

注: ログが表示されるまで数分かかる場合があります。数分経ってもログが表示されない場合は、「ログの生成」セクションのステップ 1 から 4 を繰り返し、ロギングページを更新します。

ログを見ると、接続先の VPC ネットワークと使用した接続方法の詳細がわかります。さまざまなラベルや詳細を展開して、内容を確認してください。

タスク 5. 確認

外部 IP アドレスが設定されていないインスタンス vm-internal を作成し、IAP トンネルを使ってこのインスタンスに安全に接続できました。次に、プライベート Google アクセスの有効化と Cloud NAT ゲートウェイの構成を行って、vm-internal が Google の API およびサービス、ならびにその他のパブリック IP アドレスに接続できることを確認しました。

外部 IP アドレスを設定していない VM インスタンスは、外部ネットワークから隔離されています。Cloud NAT を使用すると、これらのインスタンスがインターネットにアクセスして、更新、パッチ適用、場合によってはブートストラッピングを実行することが可能になります。Cloud NAT はマネージド サービスとして高可用性を実現します。その際にユーザーによる管理や介入は必要ありません。

Cloud IAP は、VM インスタンスに接続するときに既存のプロジェクトのロールと権限を使用します。デフォルトでは、インスタンスのオーナーが IAP で保護されたトンネル ユーザーのロールを持つ唯一のユーザーです。

他のユーザーが IAP トンネルを使用して VM にアクセスできるようにする方法については、Cloud アーキテクチャ センターの追加のユーザーにアクセスを許可するをご覧ください。

Google Cloud には、AWS の場合と同様に、ネットワークにプライバシーとセキュリティを実装するためのオプションが用意されています。

• AWS では、VPC エンドポイントを使用して、トラフィックを公共のインターネットに公開することなく、またインターネット ゲートウェイや Cloud NAT ゲートウェイを必要とせずに、AWS サービスに安全にアクセスできます。サブネット内のプライベート Google アクセスでも結果は同じで、内部 IP のみを持つ VM が Google の API の外部 IP アドレスにアクセスできるようになります。
• AWS と Google Cloud の両方で、VM から公共のインターネットへのアウトバウンド専用通信にネットワーク アドレス変換を使用することで、インスタンスで更新をダウンロードしたり、プロビジョニングを完了したりすることが可能になります。Google Cloud では、このサービスは Google Cloud NAT と呼ばれます。
• AWS では、VM に安全に接続したい場合は、**AWS Systems Manager Session Manager** を使用して EC2 インスタンスに接続できます。同様に、Google Cloud IAP（Identity-Aware Proxy）を、コンピューティング リソースへのユーザー アクセスを管理するための単一の制御ポイントとして使用できます。

ラボを終了する

ラボが完了したら、[ラボを終了] をクリックします。ラボで使用したリソースが Google Cloud Skills Boost から削除され、アカウントの情報も消去されます。

ラボの評価を求めるダイアログが表示されたら、星の数を選択してコメントを入力し、[送信] をクリックします。

星の数は、それぞれ次の評価を表します。

• 星 1 つ = 非常に不満
• 星 2 つ = 不満
• 星 3 つ = どちらともいえない
• 星 4 つ = 満足
• 星 5 つ = 非常に満足

フィードバックを送信しない場合は、ダイアログ ボックスを閉じてください。

フィードバックやご提案の送信、修正が必要な箇所をご報告いただく際は、[サポート] タブをご利用ください。

Copyright 2020 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。