GCPのネットワーク設計・序
東京リージョンが来たのでGCPを全力で触ってる途中ですが、ネットワーク、ファイアウォール(FW)の仕様がちょっと変わっていたのでメモ。 (追記事項があり次第更新予定) まだまだ勉強中なので誤りがあればご指摘ください!
ネットワーク設計する際の注意点
「ネットワーク」同士のローカルIPによる繋ぎこみは出来ない。
VPN使えばいけるだろうけど、全体の管理者とかでなければ考えなくていいかと。FWルールに「Deny」は無い。
許可のルールだけ書いてあとは全てDenyという非レガシーな考え方。らしい。- FWルールのdestは何かしらのインスタンス。指定方法は「全て」か「タグ」。
グローバルIP持ってるインスタンスはタグ付け必須。サブネットとか関係無い仕様。 - FWルールにインターネットへのアウトバンド制御不能。
上述のとおり、destはインスタンスしか指定できません。 - AWSでいうプライベートサブネットは無い。
後でオレオレセキュアネットワーク設計を書く予定。 - CloudSQLはグローバルIPでしかアクセスできないので、GCEは静的IPアドレスが必要。 アクセス制御の方法がCloudSQLで設定できるネットワーク(IPアドレス)依存なので、要注意。なんかCloudSQLProxyてのもあるみたいだけど、あんまりメリットというか違いがわからなかった。とりあえずMySQL Proxyのようなモノかと思ったけど、そうでもないっぽいのでちょっと気持ちがふわふわする感じ。。。
- ルートで設定できるネクストホップはネットワークで定義しているサブネットかつ、存在するIP転送設定しているインスタンスのIPアドレスしか指定できない。
存在しないIPアドレスとか自動生成されるデフォゲIP、リンクローカルアドレスのような特殊IPアドレスは指定できませんでした。
今の所、AWSに慣れてるとクセに感じる事があったりするけど、オンプレ経験のほうが長い身としてはGCPのほうが直感的な感じではある。専用用語が少ないってのもあるけど、ベンダが誰の立場となってサービス作ってるか、という視点の違いが大きいんだろうな。