Private Service Connect インターフェース

この Codelab について
schedule66 分
subject最終更新: 2023年6月9日
account_circle作成者: Deepak Michael

Private Service Connect インターフェースは、プロデューサーの Virtual Private Cloud(VPC)ネットワークがコンシューマの VPC ネットワーク内のさまざまな宛先への接続を開始できるようにするためのリソースです。プロデューサー ネットワークとコンシューマ ネットワークは、異なるプロジェクトや組織に属していてもかまいません。

ネットワーク アタッチメントが Private Service Connect インターフェースからの接続を受け入れると、Google Cloud はネットワーク アタッチメントで指定されたコンシューマー サブネットの IP アドレスをインターフェースに割り振ります。コンシューマ ネットワークとプロデューサー ネットワークが接続され、内部 IP アドレスを使用して通信が可能になります。

ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は、Private Service Connect のエンドポイントとサービス アタッチメント間の接続に似ていますが、重要な違いが 2 つあります。

  • ネットワーク アタッチメントは、プロデューサー ネットワークからコンシューマ ネットワークへの接続(マネージド サービスの下り、外向き)を開始できるようにします。エンドポイントは、コンシューマ ネットワークからプロデューサー ネットワークへの接続(マネージド サービスの上り、内向き)を開始できるようにします。
  • Private Service Connect インターフェースの接続は推移的です。これは、プロデューサー ネットワークは、コンシューマ ネットワークに接続されている他のネットワークと通信できることを意味します。

このチュートリアルでは、図 1 に示すように、Cloud Firewall ルールを使用してプロデューサーからコンシューマのコンピューティングへの接続を許可または拒否する、包括的な Private Service Connect(PSC)インターフェース アーキテクチャを構築します。

図 1

d39bf35e55bdf9e6.png

コンシューマ VPC に単一の psc-network-attachment を作成し、次のユースケースを実現します。

  1. クマからライオンへのアクセスを許可する Cloud Firewall ルールを作成する
  2. クマからトラへのアクセスを拒否する Cloud Firewall ルールを作成する
  3. cosmo から bear へのアクセスを許可する Cloud Firewall ルールを作成する

学習内容

  • ネットワーク アタッチメントを作成する方法
  • プロデューサーがネットワーク アタッチメントを使用して PSC インターフェースを作成する方法
  • プロデューサーからコンシューマーへの通信を確立する方法
  • プロデューサー VM(クマ)からコンシューマー VM(ライオン)へのアクセスを許可する方法
  • プロデューサー VM(熊)からコンシューマ VM(トラ)へのアクセスをブロックする方法
  • コンシューマ VM(cosmo)からプロデューサー VM(bear)へのアクセスを許可する方法

必要なもの

2. 始める前に

チュートリアルをサポートするようにプロジェクトを更新する

このチュートリアルでは、$variables を使用して、Cloud Shell での gcloud 構成の実装を支援します。

Cloud Shell で次の操作を行います。

gcloud config list project
gcloud config
set project [YOUR-PROJECT-NAME]
projectid
=YOUR-PROJECT-NAME
echo $projectid

3. コンシューマの設定

コンシューマ VPC を作成する

Cloud Shell で次の操作を行います。

gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom

コンシューマ サブネットを作成する

Cloud Shell で次の操作を行います。

gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1

Cloud Shell で次の操作を行います。

gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1

Cloud Shell で次の操作を行います。

gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1

Private Service Connect ネットワーク アタッチメント サブネットを作成する

Cloud Shell で次の操作を行います。

gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1

Cloud Router と NAT の構成

このチュートリアルでは、VM インスタンスにパブリック IP アドレスがないため、ソフトウェア パッケージのインストールに Cloud NAT を使用します。Cloud NAT を使用すると、プライベート IP アドレスを持つ VM からインターネットにアクセスできます。

Cloud Shell で、Cloud Router を作成します。

gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1

Cloud Shell で NAT ゲートウェイを作成します。

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

4. IAP を有効にする

IAP に VM インスタンスへの接続を許可するには、次のファイアウォール ルールを作成します。

  • IAP を使用してアクセス可能にするすべての VM インスタンスに適用します。
  • IP 範囲 35.235.240.0/20 からの上り(内向き)トラフィックを許可します。この範囲には、IAP が TCP 転送に使用するすべての IP アドレスが含まれています。

Cloud Shell で、IAP ファイアウォール ルールを作成します。

gcloud compute firewall-rules create ssh-iap-consumer \
   
--network consumer-vpc \
   
--allow tcp:22 \
   
--source-ranges=35.235.240.0/20

5. コンシューマ VM インスタンスを作成する

Cloud Shell で、コンシューマ VM インスタンス lion を作成します。

gcloud compute instances create lion \
   
--project=$projectid \
   
--machine-type=e2-micro \
   
--image-family debian-11 \
   
--no-address \
   
--image-project debian-cloud \
   
--zone us-central1-a \
   
--subnet=lion-subnet-1 \
   
--metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
      EOF"

Cloud Shell で、コンシューマ VM インスタンス tiger を作成します。

gcloud compute instances create tiger \
   
--project=$projectid \
   
--machine-type=e2-micro \
   
--image-family debian-11 \
   
--no-address \
   
--image-project debian-cloud \
   
--zone us-central1-a \
   
--subnet=tiger-subnet-1 \
   
--metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
      EOF"

Cloud Shell で、コンシューマ VM インスタンス cosmo を作成します。

gcloud compute instances create cosmo \
   
--project=$projectid \
   
--machine-type=e2-micro \
   
--image-family debian-11 \
   
--no-address \
   
--image-project debian-cloud \
   
--zone us-central1-a \
   
--subnet=cosmo-subnet-1 \
   
--metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
      EOF"

インスタンスの IP アドレスを取得して保存します。

Cloud Shell で、lion と tiger の VM インスタンスに対して describe を実行します。

gcloud compute instances describe lion --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe tiger
--zone=us-central1-a | grep  networkIP:

gcloud compute instances describe cosmo
--zone=us-central1-a | grep  networkIP:

6. Private Service Connect ネットワーク アタッチメント

ネットワーク アタッチメントは、Private Service Connect インターフェースのコンシューマ側を表すリージョン リソースです。単一のサブネットをネットワーク アタッチメントに関連付けると、プロデューサーはそのサブネットから Private Service Connect インターフェースに IP を割り当てます。サブネットは、ネットワーク アタッチメントと同じリージョンに存在する必要があります。ネットワーク アタッチメントは、プロデューサー サービスと同じリージョンに存在する必要があります。

ネットワーク アタッチメントを作成する

Cloud Shell で、ネットワーク アタッチメントを作成します。

gcloud compute network-attachments create psc-network-attachment \
   
--region=us-central1 \
   
--connection-preference=ACCEPT_MANUAL \
   
--producer-accept-list=$projectid \
   
--subnets=intf-subnet

ネットワーク アタッチメントを一覧表示する

Cloud Shell で、ネットワーク アタッチメントを一覧表示します。

gcloud compute network-attachments list

ネットワーク アタッチメントの説明を取得する

Cloud Shell で、ネットワーク アタッチメントの説明を取得します。

gcloud compute network-attachments describe psc-network-attachment --region=us-central1

Private Service Connect インターフェースの作成時にプロデューサーが使用する psc-network-attachment URI をメモします。たとえば次のようになります。

user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1 
connectionPreference
: ACCEPT_MANUAL
creationTimestamp
: '2023-06-06T20:57:12.623-07:00'
fingerprint
: 4Yq6xAfaRO0=
id
: '3235195049527328503'
kind
: compute#networkAttachment
name
: psc-network-attachment
network
: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists
:
- $projectid
region
: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink
: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks
:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet

7. プロデューサーの設定

プロデューサー VPC ネットワークを作成する

Cloud Shell で次の操作を行います。

gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom

プロデューサー サブネットを作成する

Cloud Shell で、psc インターフェースの vNIC0 に使用するサブネットを作成します。

gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1

8. IAP を有効にする

IAP に VM インスタンスへの接続を許可するには、次のファイアウォール ルールを作成します。

  • IAP を使用してアクセス可能にするすべての VM インスタンスに適用します。
  • IP 範囲 35.235.240.0/20 からの上り(内向き)トラフィックを許可します。この範囲には、IAP が TCP 転送に使用するすべての IP アドレスが含まれています。

Cloud Shell で、IAP ファイアウォール ルールを作成します。

gcloud compute firewall-rules create ssh-iap-producer \
   
--network producer-vpc \
   
--allow tcp:22 \
   
--source-ranges=35.235.240.0/20

9. Private Service Connect インターフェースを作成する

Private Service Connect インターフェースは、プロデューサーの Virtual Private Cloud(VPC)ネットワークがコンシューマの VPC ネットワーク内のさまざまな宛先への接続を開始できるようにするためのリソースです。プロデューサー ネットワークとコンシューマ ネットワークは、異なるプロジェクトや組織に属していてもかまいません。

ネットワーク アタッチメントが Private Service Connect インターフェースからの接続を受け入れると、Google Cloud はネットワーク アタッチメントで指定されたコンシューマー サブネットの IP アドレスをインターフェースに割り振ります。コンシューマ ネットワークとプロデューサー ネットワークが接続され、内部 IP アドレスを使用して通信が可能になります。

Cloud Shell で Private Service Connect インターフェース(bear)を作成し、ネットワーク アタッチメントの describe の出力から、前に特定した psc-network-attachment URI を挿入します。

gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment

マルチ NIC の検証

PSC インターフェースが適切な IP アドレスで構成されていることを確認します。vNIC0 はプロデューサーの prod-subnet(10.20.1.0/28)を使用し、vNIC1 はコンシューマーの intf-subnet(192.168.10.0/28)を使用します。

gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:

例:

user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
  networkIP
: 10.20.1.2
  networkIP
: 192.168.10.2

10. コンシューマのファイアウォール ルールを更新する

Bear から Lion へのアクセスを許可する Cloud Firewall ルールを作成する

Cloud Shell で、attachment-subnet(intf-subnet)の IP アドレス範囲から lion-subnet-1 のアドレス範囲内の宛先への下り(外向き)を許可する優先度の高いルールを作成します。

gcloud compute firewall-rules create allow-limited-egress-to-lion \
   
--network=consumer-vpc \
   
--action=ALLOW \
   
--rules=ALL \
   
--direction=EGRESS \
   
--priority=1000 \
   
--source-ranges="192.168.10.0/28" \
   
--destination-ranges="192.168.20.0/28" \
   
--enable-logging

Cloud Shell で、psc-network-attachment サブネットからのトラフィックに対する暗黙の上り(内向き)拒否ルールをオーバーライドする上り(内向き)許可ルールを作成します。

gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging

bear からのすべての範囲(tiger を含む)へのアクセスを拒否する Cloud ファイアウォール ルールを作成する

Cloud Shell で、ネットワーク アタッチメントのサブネット intf-subnet の IP アドレス範囲からの下り(外向き)トラフィックをすべて拒否する優先度の低いルールを作成します。

gcloud compute firewall-rules create deny-all-egress \
   
--network=consumer-vpc \
   
--action=DENY \
   
--rules=ALL \
   
--direction=EGRESS \
   
--priority=65534 \
   
--source-ranges="192.168.10.0/28" \
   
--destination-ranges="0.0.0.0/0" \
   
--enable-logging

cosmo から bear へのアクセスを許可する Cloud Firewall ルールを作成する

Cloud Shell で、psc-network-attachment サブネットからのトラフィックに対する暗黙の上り(内向き)拒否ルールをオーバーライドする上り(内向き)許可ルールを作成します。

gcloud compute firewall-rules create vm-subnet-allow-ingress \
   
--network=consumer-vpc \
   
--action=ALLOW \
   
--rules=ALL \
   
--direction=INGRESS \
   
--priority=1000 \
   
--source-ranges="192.168.40.0/28" \
   
--destination-ranges="192.168.10.0/28" \
   
--enable-logging

11. PSC インターフェースの Linux ルートを作成します。

PSC インターフェース インスタンスから、コンシューマ サブネットへのプロデューサー通信を許可するように Linux ルートを構成します。

Private Service Connect インターフェースのゲスト OS 名を確認する

ルーティングを構成するには、Private Service Connect インターフェースのゲスト OS 名が必要です。これは、Google Cloud のインターフェース名とは異なります。

Cloud Shell で新しいタブを開き、次の操作を行います。

gcloud config list project
gcloud config
set project [YOUR-PROJECT-NAME]
projectid
=YOUR-PROJECT-NAME
echo $projectid

Cloud Shell で IAP を使用して、psc-interface VM bear にログインします。

gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap

Cloud Shell で、psc-interface インスタンスの IP アドレスを取得します。

ip a

例:

user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link
/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet
127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6
::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link
/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s4
    inet
10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
       valid_lft
85991sec preferred_lft 85991sec
    inet6 fe80
::4001:aff:fe14:102/64 scope link
       valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link
/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s5
    inet
192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
       valid_lft
85991sec preferred_lft 85991sec
    inet6 fe80
::4001:c0ff:fea8:a02/64 scope link
       valid_lft forever preferred_lft forever

PSC インターフェースのゲートウェイ IP を確認する

ネットワーク インターフェースのリストで、Private Service Connect インターフェースの IP アドレスに関連付けられているインターフェース名(例: ens5(vNIC1))を見つけて保存します。

ルーティングを構成するには、Private Service Connect インターフェースのデフォルト ゲートウェイの IP アドレスが必要です。

Cloud Shell では、PSC インターフェースが vNIC1 に関連付けられているため、1 を使用します。

curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo

この例では、デフォルトの gw 192.168.10.1 が生成されます。

user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1

コンシューマー サブネットのルートを追加する

Private Service Connect インターフェースに接続するコンシューマ サブネットごとに、Private Service Connect インターフェースのデフォルト ゲートウェイへのルートを追加する必要があります。これにより、コンシューマー ネットワークに送信されるトラフィックが、Private Service Connect インターフェースから送信されます。

bear インスタンスで、コンシューマー サブネットにルートを追加します。

sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add
192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add
192.168.40.0/28 via 192.168.10.1 dev ens5

ルートテーブルを検証する

Cloud Shell で、新しく追加されたルートを検証します。

ip route show

例:

user@bear:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
192.168.20.0/28 via 192.168.10.1 dev ens5
192.168.30.0/28 via 192.168.10.1 dev ens5
192.168.40.0/28 via 192.168.10.1 dev ens5

12. クマとライオンの接続が正常に完了したことを確認します。

curl を実行して、プロデューサー VM インスタンス bear がコンシューマ インスタンス lion と通信できることを確認しましょう。

bear インスタンスから、このチュートリアルの前半で bear インスタンスから特定した lion の IP アドレスに対して curl を実行します。

curl -v <lions IP Address>

例:

user@bear:~$ curl -v 192.168.20.2
*   Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
<
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact

13. クマとトラの接続がブロックされていることを確認します。

ファイアウォール ログを表示して、下り(外向き)ファイアウォール ルールが bear から tiger へのアクセスをブロックしていることを確認しましょう。

新しい Cloud コンソール セッションで、[ロギング] > [ログ エクスプローラ] > [クエリを表示] を選択します。

2ae597e6d970cddf.png

以下のクエリ文字列を検索フィールドに貼り付け、[ストリーミング] を選択します。

jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"

30d7bfae315f2ee3.png

bear インスタンスから、チュートリアルの前半で bear インスタンスから特定した tiger の IP アドレスに対して curl を実行します。最終的に curl はタイムアウトします。

curl -v <tiger's IP Address>

例:

user@bear:~$ curl -v 192.168.30.2 
*   Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl
: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out

ログ エクスプローラで、拒否されたファイアウォール ログがキャプチャされていることを確認します。ログエントリを選択し、ネストされたフィールドを開いてメタデータを表示します。

5c42a6587300be55.png

14. 接続が正常に完了したことを確認します。

新しい Cloud Shell タブを開き、プロジェクト設定を更新します。

Cloud Shell で次の操作を行います。

gcloud config list project
gcloud config
set project [YOUR-PROJECT-NAME]
projectid
=YOUR-PROJECT-NAME
echo $projectid

Cloud Shell で IAP を使用して cosmo インスタンスにログインします。

gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap

Cloud Shell で、チュートリアルの前半で特定した Bear の IP vNIV1 IP アドレスに対して ping を実行します。

ping <bears vNIC1 IP Address>

例:

user@cosmo:~$ ping 192.168.10.2 -c 5
PING
192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms

15. クリーンアップ

Cloud Shell で、チュートリアルのコンポーネントを削除します。

gcloud compute instances delete bear --zone=us-central1-a --quiet

gcloud compute instances
delete lion --zone=us-central1-a --quiet

gcloud compute instances
delete tiger --zone=us-central1-a --quiet

gcloud compute instances
delete cosmo --zone=us-central1-a --quiet

gcloud compute network
-attachments delete psc-network-attachment --region=us-central1 --quiet

gcloud compute firewall
-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet

gcloud compute networks subnets
delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet

gcloud compute routers
delete cloud-router-for-nat --region=us-central1 --quiet

gcloud compute networks
delete consumer-vpc --quiet

gcloud compute networks
delete producer-vpc --quiet

16. 完了

これで、ファイアウォール ルールを実装して、Private Service Connect インターフェースとコンシューマとプロデューサーの接続を正常に構成して検証できました。

コンシューマ インフラストラクチャを作成し、プロデューサーがマルチ NIC VM を作成してコンシューマとプロデューサーの通信をブリッジできるようにネットワーク アタッチメントを追加しました。コンシューマー VPC ネットワークで、コンシューマー VPC とプロデューサー VPC 内のインスタンスへの接続を許可するファイアウォール ルールを作成する方法について学習しました。

Cosmopup はチュートリアルが大好きです。

e6d3675ca7c6911f.jpeg

次のステップ

以下のチュートリアルをご覧ください。

参考資料と動画

リファレンス ドキュメント