GCP(Google Cloud)でネットワークを構築する手順を解説します。
GCPのアカウントは作成されている前提になります。
完成イメージ
完成イメージは以下のようになります。
ここでは、Public/Protected/Privateと3つのサブネットを作成します。
![GCPネットワーク構成の概要](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_network_summary_1_cpmpressed-1024x790.png)
![GCPネットワーク構成のプロトコルフロー図](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_network_summary_2_compressed-3-1024x790.png)
基本用語
基本用語の概要です。
用語 | 概要 |
---|---|
VPC | Virtual Private Cloud GCP内のプライベートなネットワーク領域です。 |
Public Subnet | VPCを論理的に分割したサブネット領域です。任意に分割できます。 Public Subnetはインターネットとつながります。 |
Protected Subnet | VPCを論理的に分割したサブネット領域です。任意に分割できます。 Protected SubnetはNAT Gatewayを介してのみインターネットとつながります。 |
Private Subnet | VPCを論理的に分割したサブネット領域です。任意に分割できます。 Private Subnetはインターネットとつながりません。 |
Zone | 物理的に異なる領域を指します。 ある領域が故障しても他の領域で稼働できるよう、2つの領域を作成することが慣例です。 |
Gateway | ルーターです。VPCはGatewayを介してインターネットとつながります。 |
Load Balancer | クライアントからのHTTP(S)リクエストをWebサーバーに通します。 複数のWebサーバーを紐付け、負荷分散することができます。 |
NAT | グローバルIPアドレスを持つことができます。 Protected Subnetからインターネットへアクセスする場合は、 NATを介すようにします。 Protected Subnetに複数のGCEがある場合でも、グローバルIPアドレスが1つで済みます。 |
GCE | Google Compute Engine 仮想サーバーです。ここでのOSはWindows Serverとします。 |
Cloud SQL | データベースサーバーです。 |
Firewall | 通信を許可するプロトコルを規定することができます。 IN(受信)とOUT(送信)それぞれを設定可能です。 GCPのリソース(e.g. GCEやCloud SQL)に紐付けることができます。 下図を参考にして下さい。 |
![Firewallの概要図](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_firewall_summary_compressed.png)
ネットワーク構築
VPCの追加
VPCを追加します。
Google Cloud コンソール > メニュー > ネットワーキング > VPCネットワーク > VPCネットワークで、VPCネットワークを作成します。
VPCネットワークの作成画面で、サブネットを追加ボタンを押下して、以下のサブネットの内、「Public Subnet」と「Protected Subnet」を設定して下さい。
サブネット | CIDR | 備考 |
---|---|---|
Public Subnet | 172.16.0.0/24 | – |
Protected Subnet | 172.16.1.0/24 | – |
Private Subnet | 172.16.2.0/24 | 後ほど設定するため、ここでの設定は不要です。 |
![AWSのVPC設定①](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_vpc_1_compressed-1024x489.png)
![AWSのVPC設定②](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_vpc_2_compressed-1024x764.png)
![AWSのVPC設定③](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_vpc_3_compressed-1024x754.png)
その他はデフォルト設定のまま作成をします。
GCE(踏み台サーバー)の追加
GCE(踏み台サーバー)をPublic Subnetに追加します。
Google Cloud コンソール > メニュー > コンピューティング > Compute Engine > VM インスタンスで、VMインスタンスを作成します。
OSは「Windows Server 2019 Datacenter」を使います。バージョンは最新で結構です。
ネットワークタグを忘れずに設定しておきます。
![GCPのGCE追加①](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_gce_1_compressed-1024x918.png)
![GCPのGCE追加②](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_gce_2_compressed-1024x927.png)
その他はデフォルト設定のまま作成をします。
Firewallの追加
GCE(踏み台サーバー)に適用するFirewallを追加します。
![GCPのFirewall設定](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_firewall_bastion_compressed-651x1024.png)
GCE(踏み台サーバー)の起動
GCE(踏み台サーバー)を起動します。
Google Cloud コンソール > メニュー > コンピューティング > Compute Engine > VM インスタンスで、作成したインスタンスを選択します。
外部IP(=グローバルIPアドレス)を把握します。
![GCPのGCE追加③](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_gce_5_compressed-1024x889.png)
Windowsパスワードを設定(取得)します。
![GCPのGCE追加④](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_gce_3_compressed-1-1024x876.png)
![GCPのGCE追加⑤](http://tech-popeye.com/wp-content/uploads/2021/09/gcp_gce_4_compressed-1024x877.png)
これで、ローカル環境から「グローバルIPアドレス」とユーザー名と取得したパスワードを使って、踏み台サーバーに対してリモートデスクトップ(RDP)で接続することができます。
続きはこちらになります。