ネットワーク エンジニアやソリューション アーキテクトの方は、ネットワーク アーキテクチャのセキュリテイやプライバシーの強化が必要になる場面を経験するかもしれません。たとえば、外部ネットワーク、もしくは公共のインターネットへの接続を開始するために特定のリソースが必要だが、プライベート リソースにアクセスしようとする不正な接続は拒否したいといった場面です。

Microsoft Azure では、Azure プライベート エンドポイントを利用して、セキュリティとプライバシーを強化できます。Azure プライベート エンドポイントは、Azure Private Link を利用するサービスに Azure リソースをプライベート接続するネットワーク インターフェースです。これにより、パブリック IP アドレスを使用したりインターネットに公開したりすることなく、仮想ネットワークと Azure サービス間のプライベート通信が可能になります。

このプライバシーは、Azure ネットワーク アドレス変換（NAT）Gatewayを利用することで実現されます。Azure NAT Gateway は、仮想ネットワークからインターネットやその他のネットワークへのアウトバウンド接続を提供する、高可用性のマネージド ネットワーク ゲートウェイです。このゲートウェイを使用すると 1 個のパブリック IP アドレスを共有して、複数の仮想マシン（VM）に対するアウトバウンドのインターネット アクセスを提供できます。

Azure のこうした機能を利用して、ネットワーク上のトラフィックの制御を適用し、プライベート接続を維持して、公共のインターネットに公開することなく VM を操作することができます。

以上の内容を踏まえると、Google Cloud で作業する際に以下のような疑問を持たれるかもしれません。

• Google Cloud ではどのようにプライベート接続を維持できるのか
• VM を公共のインターネットに公開することなくどのように接続および操作できるのか
• ネットワークのトラフィックのきめ細かい制御をどのように実行できるのか

それでは、Google Cloud のネットワーク アーキテクチャのセキュリティを確保する方法を学んでいきましょう。

概要

このラボでは、外部 IP アドレスを設定していない VM インスタンスに対して、プライベート Google アクセスと Cloud NAT を実装します。その後、Google の API およびサービスのパブリック IP アドレスへのアクセスと、その他のインターネット接続を検証します。

外部 IP アドレスを設定していない VM インスタンスは、外部ネットワークから隔離されています。Cloud NAT を使用すると、これらのインスタンスがインターネットにアクセスして、更新、パッチ適用、場合によってはブートストラッピングを実行することが可能になります。Cloud NAT はマネージド サービスとして高可用性を実現します。その際にユーザーによる管理や介入は必要ありません。

目標

このラボでは、次のタスクの実行方法について学びます。

• 外部 IP アドレスが設定されていない VM インスタンスを構成する
• Identity-Aware Proxy（IAP）トンネルを使って VM インスタンスに接続する
• サブネットでプライベート Google アクセスを有効にする
• Cloud NAT ゲートウェイを構成する
• Google の API およびサービスのパブリック IP アドレスへのアクセスと、その他のインターネット接続を検証する

各ラボでは、新しい Google Cloud プロジェクトとリソースセットを一定時間無料で利用できます。

1. Qwiklabs にシークレット ウィンドウでログインします。

2. ラボのアクセス時間（例: 1:15:00）に注意し、時間内に完了できるようにしてください。
   一時停止機能はありません。必要な場合はやり直せますが、最初からになります。

3. 準備ができたら、[ラボを開始] をクリックします。

4. ラボの認証情報（ユーザー名とパスワード）をメモしておきます。この情報は、Google Cloud Console にログインする際に使用します。

5. [Google Console を開く] をクリックします。

6. [別のアカウントを使用] をクリックし、このラボの認証情報をコピーしてプロンプトに貼り付けます。
   他の認証情報を使用すると、エラーが発生したり、料金の請求が発生したりします。

7. 利用規約に同意し、再設定用のリソースページをスキップします。

タスク 1. VM インスタンスを作成する

いくつかのファイアウォール ルールを含む VPC ネットワークと、外部 IP アドレスが設定されていない VM インスタンスを作成し、IAP トンネルを使用してそのインスタンスに接続します。

VPC ネットワークとファイアウォール ルールを作成する

まず、VM インスタンス用の VPC ネットワークと、SSH 接続を許可するファイアウォール ルールを作成します。

1. Google Cloud コンソールのナビゲーション メニュー（）で [VPC ネットワーク] > [VPC ネットワーク] をクリックします。

2. [VPC ネットワークを作成] をクリックします。

3. [名前] に「privatenet」と入力します。

4. [サブネット作成モード] で [カスタム] をクリックします。

5. [新しいサブネット] で、次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	privatenet-us
   リージョン
   IPv4 アドレス範囲	10.130.0.0/20

注: [プライベート Google アクセス] はまだ有効にしないでください。

6. [完了] をクリックします。

7. [作成] をクリックし、ネットワークが作成されるまで待ちます。

8. 左側のペインで、[ファイアウォール] をクリックします。

9. [ファイアウォール ルールを作成] をクリックします。

10. 次のように指定し、残りの設定はデフォルトのままにします。

    プロパティ	値（値を入力するか、指定されたオプションを選択）
    名前	privatenet-allow-ssh
    ネットワーク	privatenet
    ターゲット	ネットワーク上のすべてのインスタンス
    ソースフィルタ	IPv4 範囲
    送信元 IPv4 範囲	35.235.240.0/20
    プロトコルとポート	指定したプロトコルとポート

11. [TCP] の場合、チェックボックスをクリックし、ポート「22」を指定します。

12. [作成] をクリックします。

注: SSH を使用してプライベート インスタンスに接続するには、ファイアウォールの適切なポートを開く必要があります。IAP 接続の接続元では、特定の IP アドレスのセット（35.235.240.0/20）が使用されます。したがって、ルールをこの CIDR 範囲に制限できます。

パブリック IP アドレスが設定されていない VM インスタンスを作成する

1. Cloud コンソールのナビゲーション メニュー（）で、[Compute Engine] > [VM インスタンス] をクリックします。

2. [インスタンスを作成] をクリックします。

3. [マシンの構成] ページで、次の設定を指定します。残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	vm-internal
   リージョン
   ゾーン
   シリーズ	E2
   マシンタイプ	e2-medium（2 個の vCPU、4 GB メモリ）

4. [OS とストレージ] をクリックします。

5. 表示されるイメージが「Debian GNU/Linux 12（bookworm）」でない場合は、[変更] をクリックして [Debian GNU/Linux 12（bookworm）] を選択し、[選択] をクリックします。

6. [ネットワーキング] をクリックします。

7. [ネットワーク インターフェース] で、次の値を指定してネットワーク インターフェースを編集します。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   ネットワーク	privatenet
   サブネットワーク	privatenet-us
   外部 IPv4 アドレス	なし

注: デフォルトでは、VM インスタンスにはエフェメラル外部 IP アドレスが設定されています。これは、組織レベルまたはプロジェクト レベルでポリシー制約を設定することで変更できます。VM インスタンスの外部 IP アドレスの制御について詳しくは、外部 IP アドレスに関するドキュメントをご覧ください。

8. [完了] をクリックします。
9. [作成] をクリックし、VM インスタンスが作成されるまで待ちます。
10. [VM インスタンス] ページで [vm-internal] の [外部 IP] が [なし] になっていることを確認します。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 VM インスタンスを作成する

SSH で vm-internal にアクセスして IAP トンネルをテストする

1. Google Cloud コンソールで、Cloud Shell をアクティブにするアイコン（）をクリックします。
2. プロンプトが表示されたら、[続行] をクリックします。
3. 次のコマンドを実行して vm-internal に接続します。

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

4. プロンプトが表示されたら、[承認] をクリックします。
5. 続行するかどうかを確認するメッセージが表示されたら、「Y」と入力します。
6. パスフレーズの入力を求められたら、Enter キーを押します。
7. 同じパスフレーズの入力を求められたら、Enter キーを押します。

8. 次のコマンドを実行して vm-internal の外部接続をテストします。

ping -c 2 www.google.com

vm-internal には外部 IP アドレスが設定されていないので、これは動作しないはずです。

9. ping コマンドが完了するのを待ちます。
10. 次のコマンドを実行して Cloud Shell インスタンスに戻ります。

exit 注: 外部 IP アドレスが設定されていないインスタンスに、同じネットワーク上にある他のインスタンスからアクセスするには、マネージド VPN ゲートウェイまたは Cloud IAP トンネルを経由する必要があります。Cloud IAP を使用すると、踏み台インスタンスがなくても、SSH や RDP を経由した VM へのコンテキストアウェア アクセスが可能になります。詳しくは、こちらのブログ投稿をご覧ください。

タスク 2. プライベート Google アクセスを有効にする

外部 IP アドレスが設定されていない VM インスタンスでプライベート Google アクセスを使用すると、Google の API およびサービスの外部 IP アドレスにアクセスできます。プライベート Google アクセスは、デフォルトでは VPC ネットワークで無効になっています。

Cloud Storage バケットを作成する

Google の API およびサービスへのアクセスをテストするための Cloud Storage バケットを作成します。

1. Cloud コンソールのナビゲーション メニュー（）で、[Cloud Storage] > [バケット] をクリックします。

2. [作成] をクリックします。

3. 次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	グローバルに一意の名前を入力
   ロケーション タイプ	マルチリージョン

4. [作成] をクリックします。パブリック アクセスの防止を有効にするよう求められたら、その設定がオンになっていることを確認して [確認] をクリックします。 ストレージ バケットの名前をメモしておきます。

5. バケットの名前を環境変数に格納します。

export MY_BUCKET=[ここにバケット名を入力]

6. echo で確認します。

echo $MY_BUCKET

バケットに画像ファイルをコピーする

Cloud Storage の公開バケットから自分のバケットに画像をコピーします。

1. Cloud Shell で、次のコマンドを実行します。

gcloud storage cp gs://cloud-training/gcpnet/private/access.svg gs://$MY_BUCKET

2. Google Cloud コンソールで、バケット名をクリックして、画像がコピーされたことを確認します。

Google Cloud コンソール内の画像の名前をクリックすると、プライベート Google アクセスの実装例が表示されます。

VM インスタンスから画像にアクセスする

1. Cloud Shell で、次のコマンドを実行してバケットから画像をコピーします。

gcloud storage cp gs://$MY_BUCKET/*.svg .

Cloud Shell には外部 IP アドレスが設定されているので、これは正常に動作するはずです。

2. 次のコマンドを実行して vm-internal に接続します。

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

3. プロンプトが表示されたら、「Y」と入力して続行します。

4. バケットの名前を環境変数に格納します。

export MY_BUCKET=[ここにバケット名を入力]

5. echo で確認します。

echo $MY_BUCKET

6. 画像が vm-internal にコピーされるように、次のコマンドを実行します。

gcloud storage cp gs://$MY_BUCKET/*.svg .

プライベート Google アクセスが無効になっているため（デフォルト）、これは正常に動作しないはずです。vm-internal がトラフィックを送信できるのは VPC ネットワーク内に限られます。

7. Ctrl+Z キーを押してリクエストを停止します。

プライベート Google アクセスを有効にする

プライベート Google アクセスは、サブネット レベルで有効になっています。この場合、サブネット内でプライベート IP アドレスしか設定されていないインスタンスは、デフォルト ルート（0.0.0.0/0）を通じて Google の API およびサービスにトラフィックを送信できます。このとき、デフォルト インターネット ゲートウェイへのネクストホップを使用します。

1. Google Cloud コンソールのナビゲーション メニュー（）で [VPC ネットワーク] > [VPC ネットワーク] をクリックします。
2. [privatenet] をクリックしてネットワークを開きます。
3. [サブネット] をクリックし、[privatenet-us] をクリックします。
4. [編集] をクリックします。
5. [プライベート Google アクセス] で [オン] を選択します。
6. [保存] をクリックします。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 Cloud Storage バケットを作成してプライベート Google アクセスを有効にする

注: サブネット内で [オン] を選択するだけで、プライベート Google アクセスが有効になります。

7. Cloud Shell の vm-internal で次のコマンドを実行し、画像を vm-internal にコピーします。

gcloud storage cp gs://$MY_BUCKET/*.svg .

vm-internal のサブネットでプライベート Google アクセスが有効化されているため、これは正常に動作するはずです。

8. 次のコマンドを実行して Cloud Shell インスタンスに戻ります。

exit 注: プライベート Google アクセスで使用できる対象の API とサービスを確認するには、サービスのプライベート アクセス オプションのガイドをご覧ください。

タスク 3. Cloud NAT ゲートウェイを構成する

vm-internal は、外部 IP アドレスがなくても Google の特定の API およびサービスにアクセスできるようになりましたが、更新やパッチ適用のためにインターネットにアクセスすることはできません。Cloud NAT ゲートウェイを構成すると、vm-internal からインターネットに接続できるようになります。

VM インスタンスの更新を試してみる

1. Cloud Shell で次のコマンドを実行して、パッケージ インデックスを再び同期してみます。

sudo apt-get update

出力の最後は次のように表示されます（出力例です）。

... Reading package lists... Done

Cloud Shell には外部 IP アドレスが設定されているので、これは正常に動作するはずです。

2. 次のコマンドを実行して vm-internal に接続します。

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

3. プロンプトが表示されたら、「Y」と入力して続行します。
4. 次のコマンドを実行して、vm-internal のパッケージ インデックスを再び同期してみます。

sudo apt-get update

vm-internal がアクセスできるのは Google の API およびサービスだけであるため、これは Google Cloud パッケージでのみ正常に動作するはずです。

5. Ctrl+C キーを押してリクエストを停止します。

Cloud NAT ゲートウェイを構成する

Cloud NAT はリージョン リソースです。範囲を限定せずリージョン内の全サブネットのトラフィックを許可する構成のほか、リージョン内の特定のサブネットのみを許可する構成、プライマリ CIDR やセカンダリ CIDR の特定範囲のみを許可する構成も可能です。

1. Google Cloud コンソールのタイトルバーで、[検索] フィールドに「ネットワーク サービス」と入力し、検索結果で [ネットワーク サービス] をクリックします。

2. [ネットワーク サービス] ページで、[ネットワーク サービス] の横にある固定アイコンをクリックします。

3. [Cloud NAT] をクリックします。

4. [開始] をクリックして NAT ゲートウェイを構成します。

5. 以下を指定します。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   ゲートウェイの名前	nat-config
   ネットワーク	privatenet
   リージョン

6. [Cloud Router] で、[新しいルーターを作成] を選択します。

7. [名前] に「nat-router」と入力します。

8. [作成] をクリックします。

注: NAT マッピングのセクションでは、NAT ゲートウェイにマッピングするサブネットを選択できます。NAT の実行時に使用する静的 IP アドレスを手動で割り当てることも可能です。このラボでは NAT マッピングの構成は変更しないでください。

9. [作成] をクリックします。
10. ゲートウェイのステータスが [実行中] になるまで待ちます。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 Cloud NAT ゲートウェイを構成する

Cloud NAT ゲートウェイを検証する

NAT 構成が VM に反映されるまで最長で 3 分ほどかかります。少なくとも 1 分待ってからもう一度インターネットにアクセスしてみてください。

1. vm-internal 用の Cloud Shell で次のコマンドを実行して、vm-internal のパッケージ インデックスを再び同期してみます。

sudo apt-get update

出力の最後は次のように表示されます（出力例です）。

... Reading package lists... Done

vm-internal で NAT ゲートウェイを使用しているため、これは正常に動作するはずです。

2. 次のコマンドを実行して Cloud Shell インスタンスに戻ります。

exit 注: Cloud NAT ゲートウェイによって送信 NAT が実装されますが、受信 NAT は実装されません。つまり、VPC ネットワークの外部にあるホストは、インスタンスによって開始された接続にのみ応答できます。Cloud NAT を使用して、外部ホスト側からインスタンスとの新しい接続を開始することはできません。

タスク 4. Cloud NAT ロギングでログを構成して表示する

Cloud NAT ロギングを使用すると、Cloud NAT の接続とエラーをログに記録できます。Cloud NAT ロギングを有効にすると、次のシナリオごとに 1 つのログエントリを生成できます。

• Cloud NAT を使用するネットワーク接続が作成された。
• Cloud NAT に使用可能なポートがないことが原因でパケットが破棄された。

両方のイベントを記録するか、一方だけを記録するかを選べます。作成されたログは Cloud Logging に送信されます。

ロギングを有効にする

ロギングが有効になっている場合、収集されたすべてのログはデフォルトで Cloud Logging に送信されます。特定のログのみが送信されるように、フィルタすることもできます。

これらの値は、Cloud NAT ゲートウェイを作成する際や作成済みの Cloud NAT ゲートウェイを編集する際に指定できます。以下の手順では、既存の Cloud NAT ゲートウェイのロギングを有効にする方法を説明します。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[ネットワーク サービス] > [Cloud NAT] をクリックします。

2. nat-config ゲートウェイをクリックしてから、[編集] をクリックします。

3. [高度な構成] プルダウンをクリックして、そのセクションを開きます。

4. [ロギング] で [変換とエラー] を選択し、[保存] をクリックします。

Cloud Logging の NAT ロギング

nat-config ゲートウェイの Cloud NAT ロギングを設定したので、ログを表示できる場所を確認しましょう。

1. nat-config をクリックして詳細を表示します。次に、[ログ エクスプローラ] へのリンクをクリックします。

2. 新しいタブが開き、ログ エクスプローラが表示されます。

ゲートウェイに対してこの機能を有効にしたばかりなので、ログはまだ記録されていません。

注: このタブを開いたままにして、Google Cloud コンソールのタブに戻ります。

ログの生成

前述のとおり、Cloud NAT のログは次のシーケンスに対して生成されます。

• Cloud NAT を使用するネットワーク接続が作成された。
• Cloud NAT に使用可能なポートがないことが原因でパケットが破棄された。

ホストを内部 VM に再び接続して、ログが生成されるかどうかを確認しましょう。

1. vm-internal 用の Cloud Shell で次のコマンドを実行して、vm-internal のパッケージ インデックスを再び同期してみます。

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

2. プロンプトが表示されたら、「Y」と入力して続行します。
3. 次のコマンドを実行して、vm-internal のパッケージ インデックスを再び同期してみます。

sudo apt-get update

出力は次の例のようになります（出力例）。

... Reading package lists... Done

4. 次のコマンドを実行して Cloud Shell インスタンスに戻ります。

exit

この接続を開始したことで、ログに新しいエントリが記録されたかどうかを確認しましょう。

ログを表示する

• [オブザーバビリティ ロギング] タブに戻って、ナビゲーション メニューで [ログ エクスプローラ] をクリックします。

内部 VM への接続後に生成された 2 つの新しいログが表示されます。

注: ログが表示されるまで数分かかる場合があります。数分経ってもログが表示されない場合は、「ログの生成」セクションのステップ 1 から 4 を繰り返し、ロギングページを更新します。

ログを見ると、接続先の VPC ネットワークと使用した接続方法の詳細がわかります。さまざまなラベルや詳細を展開して、内容を確認してください。

タスク 5. 確認

外部 IP アドレスが設定されていないインスタンス vm-internal を作成し、IAP トンネルを使ってこのインスタンスに安全に接続できました。次に、プライベート Google アクセスの有効化と Cloud NAT ゲートウェイの構成を行って、vm-internal が Google の API およびサービス、ならびにその他のパブリック IP アドレスに接続できることを確認しました。

外部 IP アドレスを設定していない VM インスタンスは、外部ネットワークから隔離されています。Cloud NAT を使用すると、これらのインスタンスがインターネットにアクセスして、更新、パッチ適用、場合によってはブートストラッピングを実行することが可能になります。Cloud NAT はマネージド サービスとして高可用性を実現します。その際にユーザーによる管理や介入は必要ありません。

Cloud IAP は、VM インスタンスに接続するときに既存のプロジェクトのロールと権限を使用します。デフォルトでは、インスタンスのオーナーが IAP で保護されたトンネル ユーザーのロールを持つ唯一のユーザーです。

他のユーザーが IAP トンネルを使用して VM にアクセスできるようにする方法については、Cloud アーキテクチャ センターの追加のユーザーにアクセスを許可するをご覧ください。

プライベート Google アクセスと Google Cloud NAT は、Google Cloud のネットワーク接続ソリューションを提供する 2 つの機能です。Microsoft Azure の Private Link と Azure NAT Gateway に相当します。

これらのサービスの類似点と相違点を以下にまとめました。

類似点

• どちらのプラットフォームも、プライベート IP アドレス上のクラウド リソースへのプライベート アクセスを有効にできる。これにより、顧客は公共のインターネットを経由せずにサービスにプライベート接続できる。
• どちらのクラウド プラットフォームも、公共のインターネットへの公開を制限してアクセス制御を強化することにより、セキュリティを強化できる。
• Azure Private Link と プライベート Google アクセスは似たようなアーキテクチャを使用しており、顧客の仮想ネットワークはプライベート接続でクラウド サービス プロバイダのネットワークに接続される。
• どちらのプラットフォームもクラウド上のネットワーク アドレス変換（NAT）サービスを提供しており、顧客は限られた数のパブリック IP アドレスを複数のリソースに対して共有できる。

相違点

• Google Cloud NAT は、パブリック IP アドレスが設定されていないインスタンスへのアウトバウンド NAT サービスを提供する機能である。Azure NAT Gateway は、仮想ネットワークへのアウトバウンド NAT サービスを提供する Azure の機能である。
• Google Cloud NAT は 1 対多、多対 1 の両方の NAT 構成に対応しているが、Azure NAT Gateway は 1 対多の NAT のみに対応している。
• Google Cloud NAT では、サービスを利用しているすべてのインスタンスに対して 1 個の NAT IP アドレスを使用する。Azure NAT Gateway では、顧客がパブリック IP アドレスのプールを NAT 用に指定できる。
• プライベート Google アクセスを利用すると、顧客が VPC ネットワーク内から Google サービスにプライベート アクセスできる。Private Link は、Azure サービスへのプライベート アクセスを可能にする Azure の機能である。
• プライベート Google アクセスでは、プライベート IP アドレスを使用している Google サービスに顧客がアクセスできる。Private Link では、Azure の仮想ネットワーク インターフェースである Azure プライベート エンドポイントを使用している Azure サービスに顧客がアクセスできる。

ラボを終了する

ラボが完了したら、[ラボを終了] をクリックします。ラボで使用したリソースが Google Cloud Skills Boost から削除され、アカウントの情報も消去されます。

ラボの評価を求めるダイアログが表示されたら、星の数を選択してコメントを入力し、[送信] をクリックします。

星の数は、それぞれ次の評価を表します。

• 星 1 つ = 非常に不満
• 星 2 つ = 不満
• 星 3 つ = どちらともいえない
• 星 4 つ = 満足
• 星 5 つ = 非常に満足

フィードバックを送信しない場合は、ダイアログ ボックスを閉じてください。

フィードバックやご提案の送信、修正が必要な箇所をご報告いただく際は、[サポート] タブをご利用ください。

Copyright 2020 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。