二度忘れた事を三度忘れないようにする

技術的なことから趣味のことまで

GCPのネットワーク設計・序

東京リージョンが来たのでGCPを全力で触ってる途中ですが、ネットワーク、ファイアウォール(FW)の仕様がちょっと変わっていたのでメモ。 (追記事項があり次第更新予定) まだまだ勉強中なので誤りがあればご指摘ください!

ネットワーク設計する際の注意点

  • 「ネットワーク」同士のローカルIPによる繋ぎこみは出来ない。
     VPN使えばいけるだろうけど、全体の管理者とかでなければ考えなくていいかと。

  • FWルールに「Deny」は無い
     許可のルールだけ書いてあとは全てDenyという非レガシーな考え方。らしい。

  • FWルールのdestは何かしらのインスタンス指定方法は「全て」か「タグ」
     グローバルIP持ってるインスタンスはタグ付け必須。サブネットとか関係無い仕様。
  • FWルールにインターネットへのアウトバンド制御不能。
     上述のとおり、destはインスタンスしか指定できません。
  • AWSでいうプライベートサブネットは無い。
     後でオレオレセキュアネットワーク設計を書く予定。
  • CloudSQLはグローバルIPでしかアクセスできないので、GCEは静的IPアドレスが必要。  アクセス制御の方法がCloudSQLで設定できるネットワーク(IPアドレス)依存なので、要注意。なんかCloudSQLProxyてのもあるみたいだけど、あんまりメリットというか違いがわからなかった。とりあえずMySQL Proxyのようなモノかと思ったけど、そうでもないっぽいのでちょっと気持ちがふわふわする感じ。。。
  • ルートで設定できるネクストホップはネットワークで定義しているサブネットかつ、存在するIP転送設定しているインスタンスIPアドレスしか指定できない。
     存在しないIPアドレスとか自動生成されるデフォゲIP、リンクローカルアドレスのような特殊IPアドレスは指定できませんでした。

今の所、AWSに慣れてるとクセに感じる事があったりするけど、オンプレ経験のほうが長い身としてはGCPのほうが直感的な感じではある。専用用語が少ないってのもあるけど、ベンダが誰の立場となってサービス作ってるか、という視点の違いが大きいんだろうな。

しかし、安くて速いのでこれからAWSではなくてGCP採用が増加しそうですね。お仕事待ってます。