2022-07-12 Google Cloud Skills Boost 実施
Google Cloud Skills Boost 実施
Lab Review: Getting Started with VPC Networking | Google Cloud Skills Boost for Partners から開始して、 IAM roles | Google Cloud Skills Boost for Partners まで実施した。
VPC Networking 周りは馴染みがなくやや難しかったが、 IAM 周りは Cloud Developer で一通り理解していたため、復習のような気持ちでスラスラと学習を進めることができた。
Lab
Lab は何故かエラーが発生して実施できなかったので、「Lab Review」の動画を確認するだけとなった。残念。
Lab は、以下のような内容だった。
ざっくりいうと、 VPC ネットワークを自身で作成したり、設定変更したり、削除したりしてみようというところ
- デフォルトのネットワークを削除する
- インスタンスを作成しようとするが、割り当てられるサブネットがないために作成できないことを確認する
- Auto Mode で VPC ネットワークを作成する
- インスタンスが再度作成できるようになることを確認する
- 各種ファイアウォールルールを削除すると、それに応じて PING や SSH の通信ができなくなることを確認する
Multiple Network Interface
Cloud Compute Engine に複数のネットワークインターフェースを割り当て、複数のネットワークに所属させるという技術。物理ではよくある構成だよなと思った。
結構制限があった。インスタンスが所属する複数のネットワークにおいて、アドレス範囲の重複があってはならないというような当然だなと思うこともあれば、「なんで?」って思うような内容もあった。「なんで?」って思った制限事項について以下に記載する。
また、 Internal DNS は nic0 のアドレスで名前を解決するようになる。これはまあ納得。
Lab
Multiple Network Interface についても Lab があった。これも同様にエラーが出て実施できず、残念だった。
3つのネットワークに所属するインスタンスから、各ネットワークに所属するインスタンスへ PING を送り、疎通できることを確認した。
3つのネットワークに所属するために、 vCPU は 3以上ないといけないそうだ。なので、この Lab で利用されているインスタンスの vCPU は 4だった。
VPC ネットワークへのアクセスを制御する方法
方法は大きく分けて二つあるとのこと。
Cloud IAM
前述したとおり、また Cloud IAM の説明になった。
子は、親のレイヤで許可された権限を制限できない
一つ、ここでの基本的な説明で新しく学んだことはこれ。
Organization で許可された権限を、その下のフォルダやプロジェクトレイヤで無効にしたり、制限したりすることはできない。
ゆえになおさら、 Google Cloud では Principle of least privilege に従うことが推奨される。
Network 関連の Pre-define roles
Network Viewer
ネットワーク設定の inspection を行うアプリケーションなどに付与することが推奨される。
Network Admin
firewall や SSL Certification などのセキュリティ関連を除く Admin 権限が付与される。
Organization policy constraints
組織やフォルダ、プロジェクト単位で制約を設定することができる。
例えば、 Compute Engine で IPv6 を利用しないようにするなど。
Organization policy constraints | Resource Manager Documentation | Google Cloud