Unified Access Gateway を Google Cloud Platform にデプロイするには、Google Cloud プロジェクトを使用し、このプロジェクトに VPC ネットワーク、対応するサブネット ネットワーク、およびファイアウォール ルールを構成する必要があります。
前提条件
- Google Cloud Platform の概念に注意してください。
- Google Cloud プロジェクトで、イメージ、VPC ネットワーク、サブネット、ファイアウォール ルールなどのリソースを作成または変更するために必要な権限があることを確認します。
- Compute Engine API を有効にする必要があります。
手順
- Google Cloud プロジェクトを使用します。
オプション |
アクション |
新しいプロジェクト |
- Google Cloud Console で、[プロジェクト セレクタ] ページに移動します。
- Google Cloud プロジェクトを作成します。
|
既存のプロジェクト |
プロジェクトがすでに使用可能でアクティブな場合は、既存のプロジェクトを使用できます。 |
- NIC ごとに Virtual Private Cloud (VPC) ネットワークを作成します。
Unified Access Gateway の各 NIC は、一意の VPC ネットワークとそのネットワーク内のサブネットを使用します。
VPC ネットワークを作成しない場合は、単一の NIC を持つ Unified Access Gateway のみをデプロイできます。Compute Engine にデプロイされた Unified Access Gateway アプライアンスは、Google Cloud Platform で使用可能なデフォルトの VPC ネットワークを使用します。
たとえば、次のイメージでは、
Google Cloud Console に 2 つの VPC ネットワーク、
uag-front-vpc
と
uag-back-vpc
が作成されています。これらの VPC ネットワークには、それぞれサブネットとして
uag-front-network
と
uag-back-network
があります。2 つの NIC を持つ
Unified Access Gateway アプライアンスをデプロイして、フロントエンド インターネットに接続するためにこれら 2 つのサブネットを使用し、バックエンド接続に個別のサブネット ネットワークを使用できます。
注: また、共有 VPC ネットワークを使用して
Unified Access Gateway を構成することもできます。このような場合、サービス プロジェクトにデプロイされた
Unified Access Gateway インスタンスは、ホスト プロジェクトで作成および管理される共有 VPC ネットワークに接続されます。
Unified Access Gateway の各ネットワーク インターフェイス (NIC) は、共有 VPC ネットワークまたはローカル VPC ネットワークを使用するように個別に構成できます。詳細については、
Google Cloudドキュメントの「
共有 VPC の構成」を参照してください。
- 作成されたサブネット名を書き留めます。
VPC ネットワーク内のサブネット名は、PowerShell を使用して
Unified Access Gateway をデプロイするときに、
.ini ファイルで使用されます。
- インターネットにアクセス可能な VPC 内の Unified Access Gateway アプライアンスへの TCP および UDP ポート アクセスを許可するには、必要な数のファイアウォール エントリを作成します。
重要: TCP ポート 22 でのインターネットから
Unified Access Gateway への SSH リモート アクセスは、ファイアウォールで慎重に制限する必要があります。SSH アクセスが必要な場合、ファイアウォール ルールは、特定の送信元 IP アドレスからのみ、またはアクセスを制御できるクラウド内のジャンプ ボックス仮想マシンから、このアクセスを許可する必要があります。
たとえば、次の
Google Cloud Console イメージでは、インターネットに接続する VPC ネットワーク
uag-front-vpc
に
uag-horizon-protocols
という名前のファイアウォール ルールが作成されます。このファイアウォール ルールは、
uag-front-vpc
ネットワークに接続されているすべてのインスタンスに適用され、指定されたポートでパブリック インターネットからの TCP および UDP の受信トラフィックを許可します。