Unified Access Gateway を Google Cloud Platform にデプロイするには、Google Cloud プロジェクトを使用し、このプロジェクトに VPC ネットワーク、対応するサブネット ネットワーク、およびファイアウォール ルールを構成する必要があります。
前提条件
- Google Cloud Platform の概念に注意してください。
- Google Cloud プロジェクトで、イメージ、VPC ネットワーク、サブネット、ファイアウォール ルールなどのリソースを作成または変更するために必要な権限があることを確認します。
- Compute Engine API を有効にする必要があります。
手順
- NIC ごとに Virtual Private Cloud (VPC) ネットワークを作成します。
Unified Access Gateway の各 NIC は、一意の VPC ネットワークとそのネットワーク内のサブネットを使用します。
VPC ネットワークを作成しない場合は、単一の NIC を持つ Unified Access Gateway のみをデプロイできます。Compute Engine にデプロイされた Unified Access Gateway アプライアンスは、Google Cloud Platform で使用可能なデフォルトの VPC ネットワークを使用します。
たとえば、次のイメージでは、 Google Cloud Console に 2 つの VPC ネットワーク、uag-front-vpcとuag-back-vpcが作成されています。これらの VPC ネットワークには、それぞれサブネットとしてuag-front-networkとuag-back-networkがあります。2 つの NIC を持つ Unified Access Gateway アプライアンスをデプロイして、フロントエンド インターネットに接続するためにこれら 2 つのサブネットを使用し、バックエンド接続に個別のサブネット ネットワークを使用できます。
注: また、共有 VPC ネットワークを使用して Unified Access Gateway を構成することもできます。このような場合、サービス プロジェクトにデプロイされた Unified Access Gateway インスタンスは、ホスト プロジェクトで作成および管理される共有 VPC ネットワークに接続されます。 Unified Access Gateway の各ネットワーク インターフェイス (NIC) は、共有 VPC ネットワークまたはローカル VPC ネットワークを使用するように個別に構成できます。詳細については、 Google Cloudドキュメントの「 共有 VPC の構成」を参照してください。 - インターネットにアクセス可能な VPC 内の Unified Access Gateway アプライアンスへの TCP および UDP ポート アクセスを許可するには、必要な数のファイアウォール エントリを作成します。
重要: TCP ポート 22 でのインターネットから Unified Access Gateway への SSH リモート アクセスは、ファイアウォールで慎重に制限する必要があります。SSH アクセスが必要な場合、ファイアウォール ルールは、特定の送信元 IP アドレスからのみ、またはアクセスを制御できるクラウド内のジャンプ ボックス仮想マシンから、このアクセスを許可する必要があります。たとえば、次の Google Cloud Console イメージでは、インターネットに接続する VPC ネットワーク
uag-front-vpcにuag-horizon-protocolsという名前のファイアウォール ルールが作成されます。このファイアウォール ルールは、uag-front-vpcネットワークに接続されているすべてのインスタンスに適用され、指定されたポートでパブリック インターネットからの TCP および UDP の受信トラフィックを許可します。
