多くの Cloud de Confiance by S3NS リソースには、内部 IP アドレスと外部 IP アドレスを使用できます。たとえば、内部 IP アドレスと外部 IP アドレスを Compute Engine インスタンスに割り当てることができます。インスタンスは、これらのアドレスを使用して、他の Cloud de Confiance by S3NS リソースや外部システムと通信します。
インスタンスの各ネットワーク インターフェースには、スタックタイプに応じて次の IP アドレスを割り当てることができます。
| インターフェースのスタックタイプ | IP アドレス |
|---|---|
| IPv4 のみ |
|
| デュアルスタック(IPv4 と IPv6) |
|
| IPv6 のみ |
|
インスタンスは、インスタンスの内部 IPv4 アドレス、内部 IPv6 アドレス、または外部 IPv6 アドレスを使用して、同じ Virtual Private Cloud(VPC)ネットワーク上のインスタンスと通信できます。内部通信には内部 IPv6 アドレスを使用することをおすすめします
インターネットと通信するには、インスタンスで構成された外部 IP アドレスを使用します。インスタンスに外部 IP アドレスが構成されていない場合は、Cloud NAT を IPv4 トラフィックに使用できます。
同様に、同じ VPC ネットワークの外部にあるインスタンスに接続するには、インスタンスの外部 IP アドレスを使用する必要があります。ただし、VPC ネットワーク ピアリングなど、なんらかの方法でネットワークが接続されている場合は、インスタンスの内部 IP アドレスを使用できます。
インスタンスの内部 IP アドレスと外部 IP アドレスを特定する方法については、インスタンスのネットワーク構成を表示するをご覧ください。
内部 IP アドレス
インスタンスのネットワーク インターフェースには、接続先のサブネットから IP アドレスが割り当てられます。IPv4 アドレスを持つネットワーク インターフェースには、サブネットのプライマリ IPv4 範囲から割り当てられた 1 つのプライマリ内部 IPv4 アドレスがあります。内部 IPv6 アドレスを持つネットワーク インターフェースには、サブネットの内部 /64 IPv6 範囲から割り当てられた 1 つの /96 IPv6 アドレス範囲があります。
内部 IPv4 アドレスは、次の方法で割り当てることができます。
- Compute Engine は、プライマリ IPv4 サブネット範囲から単一の IPv4 アドレスを自動的に割り当てます。
- コンピューティング インスタンスを作成するときに、予約済みの静的内部 IPv4 アドレスを使用するか、カスタム エフェメラル内部 IPv4 アドレスを指定して、特定の内部 IPv4 アドレスを割り当てます。
内部 IPv6 アドレスは、内部 IPv6 範囲を持つサブネットに接続されているインスタンスに次の方法で割り当てることができます。
- インスタンスの vNIC 上の内部 IPv6 アドレスを構成するときに、Compute Engine は、サブネットの内部 IPv6 範囲から IPv6 アドレスの単一の
/96範囲を割り当てます。 - 特定の内部 IPv6 アドレスは、インスタンスの作成時に、予約済みの静的内部 IPv6 アドレスを使用するか、カスタム エフェメラル内部 IPv6 アドレスを指定して割り当てます。
サブネットの IPv4 または IPv6 範囲から静的内部アドレスを予約して、後でインスタンスに割り当てることもできます。
コンピューティング インスタンスには、エイリアス IP アドレスと範囲を指定することもできます。インスタンスで稼働中の複数のサービスがある場合、各サービスを独自の IP アドレスに割り当てられます。
内部 DNS 名
Cloud de Confiance は、インスタンスの完全修飾 DNS 名(FQDN)をインスタンスの内部 IP アドレスに自動的に解決します。内部 DNS 名はインスタンスの VPC ネットワーク内でのみ機能します。
完全修飾ドメイン名(FQDN)の詳細については、内部 DNS をご覧ください。
外部 IP アドレス
インターネットまたは別の VPC ネットワーク内のリソースと通信する必要がある場合は、外部 IPv4 アドレスまたは IPv6 アドレスをインスタンスに割り当てることができます。ファイアウォール ルールまたは階層型ファイアウォール ポリシーで接続が許可されている場合、VPC ネットワークの外部からの送信元は外部 IP アドレスを使用して特定のリソースにアクセスできます。VPC ネットワーク外のリソースと直接通信できるのは、外部 IP アドレスを持つリソースのみです。外部 IP アドレスを使用してリソースと通信すると、追加の課金が発生する可能性があります。
外部 IPv4 アドレスは、次の方法で割り当てることができます。
- Compute Engine は、Google の外部 IPv4 アドレス範囲から IPv4 アドレスを自動的に割り当てます。
特定の外部 IPv4 アドレスは、インスタンスの作成時に、予約済みの静的外部 IPv4 アドレスを使用して割り当てます。
詳細については、Compute Engine の IP 範囲はどこで確認できますか?をご覧ください。
外部 IPv6 アドレスは、外部 IPv6 範囲を持つサブネットに接続されているインスタンスに次の方法で割り当てることができます。
- インスタンスの vNIC 上の外部 IPv6 アドレスを構成するときに、Compute Engine は、サブネットの外部 IPv6 範囲から IPv6 アドレスの単一の
/96範囲を自動的に割り当てます。 - 特定の外部 IPv6 アドレスは、インスタンスの作成時に、予約済みの静的外部 IPv6 アドレスを使用するか、カスタム エフェメラル外部 IPv6 アドレスを指定して割り当てます。
外部 IP アドレスを使用しない方法
内部(プライベート)IP アドレスには、外部(パブリック)IP アドレスに比べて次のような利点があります。
- 攻撃対象領域の縮小。コンピューティング インスタンスから外部 IP アドレスを削除すると、攻撃者がインスタンスに到達して潜在的な脆弱性を悪用することが困難になります。
- 柔軟性が向上。ロードバランサや NAT サービスなどの抽象化レイヤを導入すると、静的な外部 IP アドレスと比べて、信頼性の高い柔軟なサービス配信が可能になります。
次の表に、外部 IP アドレスを持たないコンピューティング インスタンスがインターネットからアクセスする方法と、インターネットからアクセスされる方法を示します。
| アクセス方法 | 解決策 | 次の場合に使用することをおすすめします。 |
|---|---|---|
| インタラクティブ | Identity-Aware Proxy(IAP)の TCP 転送を構成する | SSH や RDP などの管理サービスを使用してバックエンド インスタンスに接続したいが、リクエストがターゲット リソースに到達する前に認証と認可のチェックに合格する必要がある。 |
| 取得 | Cloud NAT ゲートウェイ | 外部 IP アドレスを持たない Compute Engine インスタンスがインターネットに接続(アウトバウンド)できるようにしたいが、VPC ネットワークの外部にあるホストがコンピューティング インスタンスへの独自の接続(インバウンド)を開始できない。このアプローチは、OS のアップデートや外部 API に使用できます。 |
| 安全なウェブプロキシ | 管理対象のセキュリティ ポリシーに準拠しながら、Compute Engine インスタンスに代わって新しい TCP 接続を作成し、Compute Engine インスタンスをインターネットから分離する必要があります。 | |
| サービング | 外部ロードバランサを作成する | Cloud de Confiance by S3NS の任意の場所に外部 IP アドレスを持たないリソースにクライアントが接続し、コンピューティング インスタンスを DDoS 攻撃と直接攻撃から保護する必要があります。 |
リージョン IP アドレスとグローバル IP アドレス
プロジェクト内の IP アドレスの一覧取得または記述の際に、 Cloud de Confianceはアドレスをグローバルまたはリージョンとしてラベル付けします。このラベルから、アドレスの使用方法がわかります。アドレスをリージョン リソース(インスタンスなど)に関連付けると、 Cloud de Confiance はそのアドレスをリージョンとしてラベル付けします。リージョンは、us-east4 や europe-west2 などの Cloud de Confianceリージョンです。
グローバル IP アドレスは、次の構成で使用されます。
- グローバル内部 IP アドレス: エンドポイント経由で Google API にアクセスするまたはプライベート サービス アクセス
- グローバル外部 IP アドレス: プレミアム ティア ネットワークを使用する外部プロキシ ネットワーク ロードバランサと外部アプリケーション ロードバランサ
グローバル IP アドレスを作成する方法については、新しい静的外部 IP アドレスを予約するをご覧ください。