Google Cloud Skills Boost 実施

VPC Networking 周りは馴染みがなくやや難しかったが、 IAM 周りは Cloud Developer で一通り理解していたため、復習のような気持ちでスラスラと学習を進めることができた。

Lab

Lab は何故かエラーが発生して実施できなかったので、「Lab Review」の動画を確認するだけとなった。残念。

Lab は、以下のような内容だった。

ざっくりいうと、 VPC ネットワークを自身で作成したり、設定変更したり、削除したりしてみようというところ

Cloud Compute Engine に複数のネットワークインターフェースを割り当て、複数のネットワークに所属させるという技術。物理ではよくある構成だよなと思った。

結構制限があった。インスタンスが所属する複数のネットワークにおいて、アドレス範囲の重複があってはならないというような当然だなと思うこともあれば、「なんで？」って思うような内容もあった。「なんで？」って思った制限事項について以下に記載する。

また、 Internal DNS は nic0 のアドレスで名前を解決するようになる。これはまあ納得。

Multiple Network Interface についても Lab があった。これも同様にエラーが出て実施できず、残念だった。

3つのネットワークに所属するインスタンスから、各ネットワークに所属するインスタンスへ PING を送り、疎通できることを確認した。

3つのネットワークに所属するために、 vCPU は 3以上ないといけないそうだ。なので、この Lab で利用されているインスタンスの vCPU は 4だった。

方法は大きく分けて二つあるとのこと。

前述したとおり、また Cloud IAM の説明になった。

一つ、ここでの基本的な説明で新しく学んだことはこれ。

Organization で許可された権限を、その下のフォルダやプロジェクトレイヤで無効にしたり、制限したりすることはできない。

ゆえになおさら、 Google Cloud では Principle of least privilege に従うことが推奨される。

ネットワーク設定の inspection を行うアプリケーションなどに付与することが推奨される。

firewall や SSL Certification などのセキュリティ関連を除く Admin 権限が付与される。

組織やフォルダ、プロジェクト単位で制約を設定することができる。

例えば、 Compute Engine で IPv6 を利用しないようにするなど。