NRIネットコム Blog

NRIネットコム社員が様々な視点で、日々の気づきやナレッジを発信するメディアです

注目のタグ
    トップ > クラウド > Google Cloud VPC 入門 ネットワークタグでアクセス制御をしよう

    Google Cloud VPC 入門 ネットワークタグでアクセス制御をしよう

    クラウド Google Cloud テクノロジー ネットワークウィーク

    本記事は  ネットワークウィーク  12日目の記事です。
    💻  11日目  â–¶â–¶ æœ¬è¨˜äº‹ â–¶â–¶  13日目  ðŸŒ

    こんにちは。横田です。 本ブログでは、ネットワークタグを活用してCompute Engineへのアクセス制御を行う方法についてお話します。 想定する読者層は以下の通りです。

    • Google Cloudのネットワークに興味がある人
    • ネットワークタグを使い始めた人

    1. はじめに

    使用するサービスは Virtual Private Cloud(以下、VPC) と Compute Engine(以下、VMインスタンス) です。 VMインスタンスへのアクセス制御には、ネットワークタグ制御方式を利用します。この方式を利用することで、特定のタグを持つ VM インスタンス群に対して、ファイアウォールルール(以下、FWルール)を適用することが可能になります。 VMインスタンスが動的 IP を持っている場合、停止・起動によって IP アドレスが変更されることがあります。しかし、ネットワークタグによってアクセス制御を行うことで、FWルールの変更が不要となり、ネットワーク設定の効率化が期待できます。 ネットワークタグとは、VMインスタンスにラベルを付与する仕組みであり、FWルールやルーティングの適用対象を制御するために使用されます。

    構成図は以下の通りです。 VPCを作成しファイアウォールルール (AWSでいうセキュリティグループに相当)の設定時にネットワークタグを設定します。 FWルールとVMインスタンスに同じタグを設定し、VMインスタンスの役割やグループに基づいたアクセス制御を実現します。

    2 NWタグの設定手順

    早速、設定していきます。

    2.1 FWルールにネットワークタグを設定

    FWルールとVMインスタンスの関連付けを行うために、FWルールにネットワークタグを設定します。 VPCネットワークのコンソールからサイドメニューの「ファイアウォール」をクリックします。

    該当のFWルールを選択し、詳細画面から「編集」をクリックします。

    「ターゲット」と「ターゲットタグ」を下図のように設定し、「保存」をクリックします。

    これでFWルールへのネットワークタグの設定が完了しました。 今回はFWルールとネットワークタグに同じ名前を使用していますが、任意の分かりやすい名前で問題ありません。

    2.2 VMインスタンスにネットワークタグを設定

    次に、VMインスタンスへネットワークタグを設定します。 Compute Engineのコンソールから該当のVMインスタンスを選択し、「編集」をクリックします。

    「ネットワーク タグ」に先ほど作成したタグを入力し、「保存」をクリックします。

    これでVMインスタンスへのタグ設定も完了です。

    2.3 SSH接続確認方法

    今回はコンソール画面からSSH接続を行い動作確認をします。 VMインスタンスのコンソール画面から「SSH」をクリックします。

    ログイン時に承認画面が出てくるので「Authorize」をクリックします。 下図の画面が表示されればSSH接続は完了です。

    3 アクセス制御確認

    ネットワークタグの有無によるアクセス制御の違いを表にまとめました。

    FWルールのタグ VMのタグ ネットワークタグによる関連付け 接続可否 補足説明
    1 あり あり あり(同じタグで関連付け) 〇 同じネットワークタグが設定されているため、FWルールとVMインスタンスが関連付けられ、接続可能。
    2 あり なし なし (関連付け不可) × VMインスタンス側にタグがないため、FWルールと関連付けができず、接続不可。
    3 なし あり なし (FWルールなし) 〇 FWルールにタグが無いため、FWルールがそのまま適用され、接続可能。
    4 なし なし なし (FWルールなし) 〇 タグ設定がなくても、FWルールがそのまま適用され、接続可能。

    表について少し説明します。 FWルールにタグが付いていない3、4の場合が少しややこしいかもしれません。 構成図に戻ってみると、通信の経路はFWルールを通ってVMインスタンスに到達しています。 この場合、FWルール(タグなし)を通過した後にVMインスタンス(タグあり)に到達しているため、FWルールがそのまま適用されて (FWルールにタグがない状態)、VMインスタンスに到達します。 そのためFWルールにタグが付いていない場合もFWルールの条件(IPレンジやポート)が一致していれば接続が可能になります。

    4 まとめ

    本ブログではネットワークタグを使用してVMインスタンスへのアクセス制御を行う方法をご紹介しました。 ポイントをまとめると以下になります。

    • ネットワークタグを使うことできめ細かなアクセス制御が可能
    • FWルールにネットワークタグが設定されていない場合は通常のFWルールが適用される

    最後までお読みいただきありがとうございました。

    執筆者横田真斗

    インフラエンジニア

    Google Cloud Partner All Certification Holders 2025

    執筆記事一覧:https://tech.nri-net.com/archive/author/m2-yokota