チェックポイント
Create a VPC network
/ 40
Create instance in primary region
/ 30
Create a VM instance in secondary region
/ 30
VPC ネットワーキングの基礎
GSP210
概要
Google Cloud Virtual Private Cloud(VPC)は、Compute Engine 仮想マシン(VM)インスタンス、Kubernetes Engine コンテナ、App Engine フレキシブル環境にネットワーキング機能を提供しています。つまり、VPC ネットワークがなければ VM インスタンス、コンテナ、App Engine アプリケーションを作成することはできません。そのため、各 Google Cloud プロジェクトには、すぐに使えるように default ネットワークが用意されています。
VPC ネットワークは、Google Cloud 内で仮想化されているという点を除き、物理ネットワークと同じように考えることができます。VPC ネットワークは、各データセンター内のリージョン仮想サブネットワーク(サブネット)のリストで構成されるグローバル リソースであり、すべてグローバルな広域ネットワーク(WAN)で接続されています。VPC ネットワークは、Google Cloud 内で互いに論理的に隔離されています。
このラボでは、ファイアウォール ルールを含む自動モードの VPC ネットワークと、2 つの VM インスタンスを作成します。また、それらの VM インスタンスの接続性について見ていきます。
目標
このラボでは、次のタスクの実行方法について学びます。
- default VPC ネットワークについて確認する
- ファイアウォール ルールを含む自動モードのネットワークを作成する
- Compute Engine を使用して VM インスタンスを作成する
- VM インスタンスの接続性について確認する
設定と要件
[ラボを開始] ボタンをクリックする前に
こちらの手順をお読みください。ラボの時間は記録されており、一時停止することはできません。[ラボを開始] をクリックするとスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。
このハンズオンラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でラボのアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。
このラボを完了するためには、下記が必要です。
- 標準的なインターネット ブラウザ(Chrome を推奨)
- ラボを完了するために十分な時間を確保してください。ラボをいったん開始すると一時停止することはできません。
ラボを開始して Google Cloud コンソールにログインする方法
-
[ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。 左側の [ラボの詳細] パネルには、以下が表示されます。
- [Google Cloud コンソールを開く] ボタン
- 残り時間
- このラボで使用する必要がある一時的な認証情報
- このラボを行うために必要なその他の情報(ある場合)
-
[Google Cloud コンソールを開く] をクリックします(Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウでリンクを開く] を選択します)。
ラボでリソースが起動し、別のタブで [ログイン] ページが表示されます。
ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。
注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。 -
必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。
{{{user_0.username | "Username"}}} [ラボの詳細] パネルでも [ユーザー名] を確認できます。
-
[次へ] をクリックします。
-
以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。
{{{user_0.password | "Password"}}} [ラボの詳細] パネルでも [パスワード] を確認できます。
-
[次へ] をクリックします。
重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。 -
その後次のように進みます。
- 利用規約に同意してください。
- 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
- 無料トライアルには登録しないでください。
その後、このタブで Google Cloud コンソールが開きます。
タスク 1. default ネットワークについて確認する
各 Google Cloud プロジェクトは default ネットワークを備えています。このネットワークには、サブネット、ルート、ファイアウォール ルールが含まれています。
サブネットを確認する
default ネットワークには、各 Google Cloud リージョンのサブネットが含まれています。
-
Cloud コンソールで、ナビゲーション メニュー() > [VPC ネットワーク] > [VPC ネットワーク] に移動します。
-
[default] ネットワークをクリックします。default ネットワークの詳細とそのサブネットが表示されます。
ルートを表示する
ルートは、VM インスタンスと VPC ネットワークに対して、インスタンスから宛先(ネットワーク内部または Google Cloud の外部)にトラフィックを送信する方法を指定するものです。
各 VPC ネットワークにはいくつかのデフォルト ルートが用意されており、サブネット間でのトラフィックのルーティングや、条件を満たすインスタンスからインターネットへのトラフィックの送信に使用されます。
-
左側のペインで [ルート] をクリックします。
-
[適用されているルート] タブで、
default
のネットワークとus-central1
リージョンを選択します。
各サブネットのルートと、デフォルト インターネット ゲートウェイ(0.0.0.0./0)のルートが表示されます。
ファイアウォール ルールを表示する
各 VPC ネットワークには、構成可能な分散仮想ファイアウォールが実装されています。ファイアウォール ルールを使用すると、どのパケットをどの宛先に送信できるようにするかをコントロールできます。
また、あらゆる VPC ネットワークには、すべての受信接続をブロックし、すべての送信接続を許可するという 2 つの暗黙ファイアウォール ルールが存在します。
- 左側のペインで、[ファイアウォール] をクリックします。
default ネットワークには次の 4 つの内向きファイアウォール ルールが表示されます。
- default-allow-icmp
- default-allow-internal
- default-allow-rdp
- default-allow-ssh
default ネットワークを削除する
-
すべてのファイアウォール ルールを選択して、[削除] をクリックします。
-
左側のパネルで [VPC ネットワーク] をクリックします。
-
[default] ネットワークをクリックします。
-
ページ上部にある [VPC ネットワークの削除] をクリックし、
-
その後、[削除] をクリックして、default ネットワークの削除を確定します。
注: ネットワークが削除されるまで待ってから次に進みます。 -
左側のペインで [ルート] をクリックします。
ルートが表示されていないことを確認します。ページ上部にある [更新] ボタンをクリックしなければならない場合があります。
VM インスタンスを作成してみる
VPC ネットワークがない場合は VM インスタンスを作成できないことを確認します。
-
Cloud コンソールで、ナビゲーション メニュー() > [Compute Engine] > [VM インスタンス] に移動します。
-
[インスタンスを作成] をクリックして VM インスタンスを作成します。
-
すべての値をデフォルトのままにして、[作成] をクリックします。
注: エラーが表示されます。 -
[詳細オプション] セクションを開き、[ネットワーク インターフェース] まで下にスクロールします。
注: [ネットワーク] ボックスの下に、「このプロジェクトで使用できるその他のネットワークがありません」というエラーが表示されます 。 -
[キャンセル] をクリックします。
タスク 2. VPC ネットワークと VM インスタンスを作成する
VM インスタンスを作成するために、まず VPC ネットワークを作成します。
ファイアウォール ルールを含む自動モードの VPC ネットワークを作成する
自動モードのネットワークを作成して default ネットワークを再現します。
-
コンソールで、ナビゲーション メニュー() > [VPC ネットワーク] > [VPC ネットワーク] に移動して、[VPC ネットワークを作成] をクリックします。
-
[名前] を「
mynetwork
」に設定します。 -
[サブネット作成モード] で [自動] をクリックします。
自動モードのネットワークは、各リージョンのサブネットを自動的に作成します。
-
[ファイアウォール ルール] で、すべてのルールのチェックボックスをオンにします。
これらのルールは、default ネットワークに含まれていた標準のファイアウォール ルールと同じものです。
-
[作成] をクリックし、mynetwork が作成されるまで待ちます。
各リージョンのサブネットが作成されたことを確認します。
-
mynetwork 名をクリックし、
と のサブネットの IP アドレス範囲を書き留めておきます。 次の手順で、これらの IP アドレス範囲を参照します。
完了したタスクをテストする
[進行状況を確認] をクリックして、実行したタスクを確認します。タスクが正常に完了すると、評価スコアが付与されます。
に VM インスタンスを作成する
-
コンソールで、ナビゲーション メニュー()> [Compute Engine] > [VM インスタンス] に移動し、
-
[インスタンスを作成] をクリックします。
-
以下の値を設定し、他はすべてデフォルト値のままにします。
プロパティ 値(値を入力するか、指定されたオプションを選択) 名前 mynet-us-vm リージョン ゾーン シリーズ E2 マシンタイプ e2-micro -
[作成] をクリックし、インスタンスが作成されるまで待ちます。
-
[内部 IP] のアドレスが、
内のサブネットの IP アドレス範囲から割り当てられていることを確認します。
完了したタスクをテストする
[進行状況を確認] をクリックして、実行したタスクを確認します。タスクが正常に完了すると、評価スコアが付与されます。
に VM インスタンスを作成する
-
[インスタンスを作成] をクリックします。
-
以下の値を設定し、他はすべてデフォルト値のままにします。
プロパティ 値(値を入力するか、指定されたオプションを選択) 名前 mynet-second-vm リージョン ゾーン シリーズ E2 マシンタイプ e2-micro -
[作成] をクリックし、インスタンスが作成されるまで待ちます。
-
[内部 IP] のアドレスが、
内のサブネットの IP アドレス範囲から割り当てられていることを確認します。 [内部 IP] のアドレスは
になっているはずです。x.x.x.1 はゲートウェイ用に予約されていて、このサブネットに他のインスタンスは構成されていないからです。
完了したタスクをテストする
[進行状況を確認] をクリックして、実行したタスクを確認します。タスクが正常に完了すると、評価スコアが付与されます。
タスク 3. VM インスタンスの接続性について確認する
VM インスタンスの接続性について確認します。具体的には、tcp:22 を使用して SSH で VM インスタンスに接続し、ICMP を使用して VM インスタンスの内部 IP アドレスと外部 IP アドレスに対して ping を実行します。さらに、ファイアウォール ルールを 1 つずつ削除して、接続性に対する影響を調べます。
VM インスタンスの接続性を検証する
mynetwork で作成したファイアウォール ルールでは、mynetwork の外部(外部 IP)からと内部(内部 IP)での、SSH および ICMP の上り(内向き)トラフィックが許可されます。
-
コンソールで、ナビゲーション メニュー()> [Compute Engine] > [VM インスタンス] に移動します。
mynet-eu-vm の外部 IP アドレスと内部 IP アドレスをメモしておきます。
-
mynet-us-vm で、[SSH] をクリックしてターミナルを起動し、接続します。場合によっては [SSH] を 2 回クリックする必要があります。
SSH でインスタンスに接続できます。これは、allow-ssh ファイアウォール ルールによって tcp: 22 に対する任意の送信元(0.0.0.0/0)からの内向きトラフィックが許可されているからです。
注: また、Compute Engine が SSH 認証鍵を自動的に作成して次のいずれかの場所に保存するため、SSH 接続はシームレスに機能します。 - デフォルトでは、生成された鍵はプロジェクトまたはインスタンスのメタデータに追加されます。
- OS Login を使用するようにアカウントが構成されている場合、生成された鍵はユーザー アカウントとともに保存されます。
-
mynet-second-vm の内部 IP アドレスに接続されているかどうかをテストするには、mynet-second-vm の内部 IP アドレスを使用して次のコマンドを実行してください。
ping -c 3 <mynet-second-vm の内部 IP をここに入力> allow-custom ファイアウォール ルールで許可されているため、mynet-second-vm の内部 IP に ping を実行できます。
-
mynet-second-vm の外部 IP アドレスに接続されているかどうかをテストするには、mynet-second-vm の外部 IP を使用して次のコマンドを実行してください。
ping -c 3 <mynet-second-vm の外部 IP をここに入力>
タスク 4. 理解度チェック
今回のラボで学習した内容の理解を深めていただくため、以下の多岐選択式問題を用意しました。正解を目指して頑張ってください。
タスク 5. allow-icmp ファイアウォール ルールを削除する
allow-icmp ファイアウォール ルールを削除しても mynet-second-vm の内部 IP アドレスと外部 IP アドレスに対して ping を実行できるか試してみます。
-
コンソールで、ナビゲーション メニュー() > [VPC ネットワーク] > [ファイアウォール] に移動します。
-
mynetwork-allow-icmp ルールのチェックボックスをオンにします。
-
[削除] をクリックします。
-
[削除] をクリックして削除を確定します。
ファイアウォール ルールの削除が完了するまで待ちます。
-
mynet-us-vm の SSH ターミナルに戻ります。
-
mynet-second-vm の内部 IP アドレスに接続されているかどうかをテストするには、mynet-second-vm の内部 IP アドレスを使用して次のコマンドを実行してください。
allow-custom ファイアウォール ルールで許可されているため、mynet-second-vm の内部 IP に ping を実行できます。
-
mynet-second-vm の外部 IP アドレスに接続されているかどうかをテストするには、mynet-second-vm の外部 IP を使用して次のコマンドを実行してください。
ping -c 3 <mynet-second-vm の外部 IP をここに入力>
タスク 6. allow-custom ファイアウォール ルールを削除する
allow-custom ファイアウォール ルールを削除しても、mynet-second-vm の内部 IP アドレスに対して ping を実行できるかを試してみます。
-
コンソールで、ナビゲーション メニュー() > [VPC ネットワーク] > [ファイアウォール] に移動します。
-
mynetwork-allow-custom ルールのチェックボックスをオンにして、[削除] をクリックします。
-
[削除] をクリックして削除を確定します。
ファイアウォール ルールの削除が完了するまで待ちます。
-
mynet-us-vm の SSH ターミナルに戻ります。
-
mynet-second-vm の内部 IP アドレスに接続されているかどうかをテストするには、mynet-second-vm の内部 IP アドレスを使用して次のコマンドを実行してください。
ping -c 3 <mynet-second-vm の内部 IP をここに入力>
-
SSH ターミナルを終了します。
exit
タスク 7. allow-ssh ファイアウォール ルールを削除する
allow-ssh ファイアウォール ルールを削除しても SSH で mynet-us-vm に接続できるかを試してみます。
-
コンソールで、ナビゲーション メニュー() > [VPC ネットワーク] > [ファイアウォール] に移動します。
-
mynetwork-allow-ssh ルールのチェックボックスをオンにして、[削除] をクリックします。
-
[削除] をクリックして削除を確定します。
ファイアウォール ルールの削除が完了するまで待ちます。
-
コンソールで、ナビゲーション メニュー()> [Compute Engine] > [VM インスタンス] に移動します。
-
mynet-us-vm で、[SSH] をクリックしてターミナルを起動し、接続します。
お疲れさまでした
このラボでは、default ネットワークとそのサブネット、ルート、ファイアウォール ルールについて見てきました。default ネットワークを削除して、VPC ネットワークがないと VM インスタンスを作成できないことを確認し、サブネット、ルート、ファイアウォール ルール、2 つの VM インスタンスを持つ新しい自動モード VPC ネットワークを作成しました。また、VM インスタンスの接続性をテストし、接続性に対するファイアウォール ルールの影響を調べました。
次のステップと詳細情報
Google VPC の詳細については Virtual Private Cloud(VPC)ネットワークの概要をご覧ください。
マニュアルの最終更新日: 2024 年 2 月 10 日
ラボの最終テスト日: 2023 年 9 月 1 日
Copyright 2024 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。