組織の多層防御戦略の一環として、インライン検出と不審なネットワーク アクティビティをブロックするために、一元化されたネットワーク アプライアンスの使用を求めるセキュリティ ポリシーを確立されていると思います。このドキュメントは、Google Cloud VMware Engine ワークロードに対して、次に挙げる最新式のネットワーク保護機能を設計する際にお役立ていただけます。
- 分散型サービス拒否攻撃(DDoS)の軽減
- SSL オフロード
- 次世代ファイアウォール(NGFW)
- 不正侵入防止システム(IPS)と侵入検知システム(IDS)
- ディープ パケット インスペクション(DPI)
このドキュメントのアーキテクチャでは、Cloud Load Balancing と、Google Cloud Marketplace のネットワーク アプライアンスを使用します。Cloud Marketplace では、エンタープライズ IT のニーズに応じて、ベンダーによるサポートがあり本番環境に対応した Google Cloud セキュリティ パートナーのネットワーク アプライアンスを提供します。
このドキュメントの説明は、VMware Engine ワークロード用にネットワーク接続を設計、プロビジョニング、管理するセキュリティ アーキテクトとネットワーク管理者を対象としています。このドキュメントは、Virtual Private Cloud(VPC)、VMware vSphere、VMware NSX、ネットワーク アドレス変換(NAT)、Cloud Load Balancing についての知識があることを前提としています。
アーキテクチャ
次の図は、オンプレミス ネットワークとインターネットから VMware Engine ワークロードへネットワーク接続するアーキテクチャを示しています。このドキュメントの後の部分では、特定のユースケースの要件を満たすようにこのアーキテクチャを拡張します。
図 1 には、次に挙げるこのアーキテクチャの主なコンポーネントが示されています。
- VMware Engine プライベート クラウド: 仮想マシン(VM)、ストレージ、ネットワーク インフラストラクチャ、VMware vCenter Server で構成される分離された VMware スタック。VMware NSX-T には、ワークロード ネットワーキングとセキュリティ機能(マイクロセグメンテーションやファイアウォール ポリシーなど)が用意されています。VMware Engine VM では、プライベート クラウドに作成したネットワーク セグメントの IP アドレスを使用します。
- パブリック IP アドレス サービス: インターネットからの上り(内向き)アクセスを可能にするため、VMware Engine VM に外部 IP アドレスを提供します。インターネット ゲートウェイにより、デフォルトで VMware Engine VM に下り(外向き)アクセスが提供されます。
- VMware Engine テナント VPC ネットワーク: すべての VMware Engine プライベート クラウドで使用される専用の Google マネージド VPC ネットワーク。これにより、Google Cloud サービスとの通信が可能になります。
お客様の VPC ネットワーク:
- お客様の VPC ネットワーク 1(外部): ネットワーク アプライアンスとロードバランサの公開インターフェースをホストする VPC ネットワーク。
- お客様の VPC ネットワーク 2(内部): ネットワーク アプライアンスの内部インターフェースをホストし、プライベート サービス アクセス モデルを使用して VMware Engine のテナント VPC ネットワークとピアリングされる VPC ネットワーク。
プライベート サービス アクセス: VPC ネットワーク ピアリングを使用して Google マネージド サービスと VPC ネットワーク間の接続を可能にするプライベート アクセス モデル。
ネットワーク アプライアンス: Cloud Marketplace から選択して Compute Engine インスタンスにデプロイするネットワーキング ソフトウェア。
Cloud Load Balancing: Google Cloud で高可用性を有する分散ワークロードへのトラフィック管理に使用できる Google マネージド サービス。トラフィック プロトコルとアクセス要件に合わせて、適切なロードバランサの種類を選択できます。このドキュメントのアーキテクチャでは、組み込みの NSX-T ロードバランサは使用しません。
設定に関する注意点
次の図では、VMware Engine ワークロードのネットワーク接続を提供するために必要なリソースを示します。
図 2 には、このアーキテクチャでリソースを設定および構成するために行う必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。
カスタムモード VPC ネットワークの作成の手順に沿って、外部および内部の VPC ネットワークとサブネットを作成します。
- サブネットごとに、全 VPC ネットワークで一意の IP アドレス範囲を選択します。
- アーキテクチャ図で示されている管理 VPC ネットワークは省略可能です。必要に応じて、これを使用してネットワーク アプライアンスの管理 NIC インターフェースをホストできます。
Cloud Marketplace から、必要なネットワーク アプライアンスをデプロイします。
ネットワーク アプライアンスの高可用性を実現するには、2 つのゾーンに分散した VM のペアに各アプライアンスをデプロイします。
ネットワーク アプライアンスは、インスタンス グループにデプロイできます。インスタンス グループは、管理やベンダー サポートの要件に応じて、マネージド インスタンス グループ(MIG)か非マネージド インスタンス グループになります。
ネットワーク インターフェースを次のようにプロビジョニングします。
- 外部 VPC ネットワークの
nic0
で、トラフィックを公開ソースに転送する。 nic1
を管理オペレーション用にする(アプライアンス ベンダーが必要とする場合)。- 内部 VPC ネットワークの
nic2
を、VMware Engine リソースとの内部通信用にする。
ネットワーク インターフェースを個別の VPC ネットワークにデプロイすると、セキュリティ ゾーンの分離をパブリック接続とオンプレミス接続のインターフェース レベルで確保できます。
- 外部 VPC ネットワークの
VMware Engine を設定します。
- VMware Engine プライベート クラウドを作成します。
- VMware Engine VM のネットワーク セグメントを作成します。
プライベート サービス アクセスを使用して VPC ネットワーク ピアリングを設定し、内部 VPC ネットワークを VMware Engine が管理する VPC ネットワークに接続します。
オンプレミス ネットワークへのハイブリッド接続が必要な場合は、Cloud VPN や Cloud Interconnect を使用します。
図 2 のアーキテクチャは、次のユースケース用に拡張できます。
ユースケース | 使用されるプロダクトやサービス |
---|---|
一般向け VMware Engine ワークロード用の NGFW |
|
一般向け VMware Engine ワークロード用の NGFW、DDoS 軽減、SSL オフロード、コンテンツ配信ネットワーク(CDN) |
|
VMware Engine ワークロードと、オンプレミスのデータセンターまたは他のクラウド プロバイダとの間のプライベート通信用の NGFW |
|
VMware Engine ワークロードのインターネットへの一元化した下り(外向き)ポイント |
|
以降のセクションでは、これらのユースケースについて説明し、ユースケースを実装する構成タスクの概要を記載します。
一般向けワークロード用の NGFW
このユースケースには、次の要件があります。
- 共通のフロントエンドとして L4 ロードバランサを持つ、VMware Engine インスタンスと Compute Engine インスタンスで構成されるハイブリッド アーキテクチャ。
- IPS / IDS、NGFW、DPI、または NAT ソリューションを使用することによる公開 VMware Engine ワークロードの保護。
- VMware Engine のパブリック IP アドレス サービスでサポートされる数以上のパブリック IP アドレス。
次の図では、一般向けの VMware Engine ワークロード用に NGFW をプロビジョニングするために必要なリソースを示します。
図 3 には、このアーキテクチャでリソースを設定および構成するために行う必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。
外部 VPC ネットワークに、VMware Engine ワークロードの公開上り(内向き)エントリ ポイントとして外部パススルー ネットワーク ロードバランサをプロビジョニングします。
- 複数の転送ルールを作成して、複数の VMware Engine ワークロードをサポートします。
- それぞれに一意の IP アドレス 1 つと、TCP または UDP のポート番号 1 つを持つ転送ルールを構成します。
- ネットワーク アプライアンスをロードバランサのバックエンドとして構成します。
転送ルールのパブリック IP アドレスを、VMware Engine 内の一般向けのアプリケーションをホストする VM の内部 IP アドレスに対して宛先 NAT(DNAT)を行うようにネットワーク アプライアンスを構成します。
- ネットワーク アプライアンスは、対称の戻りパスを確保するために、
nic2
インターフェースからのトラフィックに対してソース NAT(SNAT)を実行する必要があります。 - ネットワーク アプライアンスは、
nic2
インターフェースを介して VMware Engine ネットワークを宛先とするトラフィックを、サブネットのゲートウェイ(サブネットの最初の IP アドレス)に転送する必要もあります。 - ヘルスチェックに合格するために、ネットワーク アプライアンスがセカンダリ インターフェースやループバック インターフェースを使用して、転送ルールの IP アドレスに応答する必要があります。
- ネットワーク アプライアンスは、対称の戻りパスを確保するために、
VMware Engine トラフィックを、ネクストホップとしての VPC ネットワーク ピアリングに転送するように、内部 VPC ネットワークのルートテーブルを設定します。
この構成では、VMware Engine VM により、インターネット リソースへの下り(外向き)に VMware Engine のインターネット ゲートウェイ サービスが使用されます。ただし、VM にマッピングされたパブリック IP アドレスに向かう上り(内向き)は、ネットワーク アプライアンスによって管理されます。
NGFW、DDoS 軽減、SSL オフロード、CDN
このユースケースには、次の要件があります。
- 共通のフロントエンドとして L7 ロードバランサと、トラフィックを適切なバックエンドに転送する URL マッピングがある、VMware Engine インスタンスと Compute Engine インスタンスで構成されるハイブリッド アーキテクチャ。
- IPS / IDS、NGFW、DPI、または NAT ソリューションを使用することによる公開 VMware Engine ワークロードの保護。
- Google Cloud Armor を使用することによる、VMware Engine パブリック ワークロードの L3 - L7 の DDoS 軽減。
- Google マネージド SSL 証明書または SSL ポリシーを使用した SSL 終端により、HTTPS に使用される SSL のバージョンと暗号を制御するか、公開 VMware Engine ワークロードへ SSL 接続する。
- Cloud CDN を使用してユーザーに近いロケーションからコンテンツを提供することで、VMware Engine ワークロードのネットワーク配信を高速化する。
次の図では、一般向け VMware Engine ワークロードの NGFW 機能、DDoS 軽減、SSL オフロード、CDN をプロビジョニングするために必要なリソースを示します。
図 4 には、このアーキテクチャでリソースを設定および構成するために行う必要がある必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。
外部 VPC ネットワークに、VMware Engine ワークロードの公開上り(内向き)エントリ ポイントとしてグローバル外部アプリケーション ロードバランサをプロビジョニングします。
- 複数の転送ルールを作成して、複数の VMware Engine ワークロードをサポートします。
- 各転送ルールには、一意のパブリック IP アドレスを 1 つ構成して、HTTP(S) トラフィックをリッスンするように設定します。
- ネットワーク アプライアンスをロードバランサのバックエンドとして構成します。
また、次の操作が可能です。
- ネットワーク アプライアンスを保護するには、ロードバランサに Google Cloud Armor セキュリティ ポリシーを設定します。
- CDN バックエンドとして機能するネットワーク アプライアンスのルーティング、ヘルスチェック、エニーキャスト IP アドレスをサポートするには、ネットワーク アプライアンスをホストする MIG の Cloud CDN を設定します。
- リクエストを別のバックエンドに転送するには、ロードバランサに URL マッピングを設定します。たとえば、
/api
へのリクエストは Compute Engine VM に転送し、/images
へのリクエストは Cloud Storage バケットに転送し、/app
へのリクエストはネットワーク アプライアンスを介して VMware Engine VM に転送します。
各ネットワーク アプライアンスを構成して、宛先 NAT(DNAT)で、
nic0
インターフェースの内部 IP アドレスを、VMware で一般向けのアプリケーションをホストする VM の内部 IP アドレスに変換するようにします。- ネットワーク アプライアンスでは、
nic2
インターフェース(内部 IP アドレス)からのソース トラフィックに SNAT を実行して、対称の戻りパスを確保する必要があります。 - また、ネットワーク アプライアンスは、
nic2
インターフェースを介して VMware Engine ネットワークを宛先とするトラフィックを、サブネット ゲートウェイ(サブネットの最初の IP アドレス)に転送する必要もあります。
ロードバランサは Google Front End(GFE)サービスに実装されるプロキシベースのサービスであるため、DNAT 手順が必要です。クライアントのロケーションに応じて、複数の GFE がバックエンド ネットワーク アプライアンスの内部 IP アドレスへの HTTP(S) 接続を開始できます。GFE からのパケットには、元のクライアント IP アドレスではなく、ヘルスチェック プローブに使用されるのと同じ範囲の送信元 IP アドレス(35.191.0.0/16 と 130.211.0.0/22)があります。ロードバランサは、
X-Forwarded-For
ヘッダーを使用してクライアント IP アドレスを追加します。ヘルスチェックに合格するため、セカンダリまたはループバック インターフェースを使用して、転送ルールの IP アドレスに応答するようにネットワーク アプライアンスを構成します。
- ネットワーク アプライアンスでは、
VMware Engine トラフィックを、VPC ネットワーク ピアリングに転送するように、内部 VPC ネットワークのルートテーブルを設定します。
この構成では、VMware Engine VM により、インターネットへの下り(外向き)に VMware Engine のインターネット ゲートウェイ サービスが使用されます。ただし、VM のパブリック IP アドレスに向かう上り(内向き)は、ネットワーク アプライアンスによって管理されます。
プライベート接続用の NGFW
このユースケースには、次の要件があります。
- 共通のフロントエンドとして L4 ロードバランサを持つ、VMware Engine インスタンスと Compute Engine インスタンスで構成されるハイブリッド アーキテクチャ。
- IPS / IDS、NGFW、DPI、NAT ソリューションを使用した、プライベート VMware Engine ワークロードの保護。
- オンプレミス ネットワークとの接続用の Cloud Interconnect または Cloud VPN。
次の図では、VMware Engine ワークロードと、オンプレミス ネットワークや他のクラウド プロバイダとの間のプライベート接続用に、NGFW をプロビジョニングするために必要なリソースを示します。
図 5 には、このアーキテクチャでリソースを設定および構成するために行う必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。
外部 VPC ネットワークに、内部パススルー ネットワーク ロードバランサをプロビジョニングし、単一の転送ルールですべてのトラフィックをリッスンします。ネットワーク アプライアンスをロードバランサのバックエンドとして構成します。
VMware Engine ネットワーク宛てのトラフィックのネクストホップとして転送ルールを指すように、外部 VPC ネットワークのルートテーブルを設定します。
ネットワーク アプライアンスを次のように構成します。
- VMware Engine ネットワークを宛先とするトラフィックは、
nic2
インターフェースを介してサブネット ゲートウェイ(サブネットの最初の IP アドレス)に転送します。 - ヘルスチェックに合格するため、セカンダリまたはループバック インターフェースを使用して、転送ルールの IP アドレスに応答するようにネットワーク アプライアンスを構成します。
- 内部ロードバランサに対するヘルスチェックに合格できるように、複数の仮想ルーティング ドメインを構成して、適切なルーティングが行われるようにします。この手順は、
nic2
インターフェースがパブリック範囲(35.191.0.0/16 と 130.211.0.0/22)から送信されたヘルスチェック トラフィックを返し、ネットワーク アプライアンスのデフォルト ルートがnic0
インターフェースを指すことができるようにするために必要です。ロードバランサのヘルスチェックの IP 範囲の詳細については、プローブ IP 範囲とファイアウォール ルールをご覧ください。
- VMware Engine ネットワークを宛先とするトラフィックは、
内部 VPC ネットワークのルートテーブルを設定して、VPC ネットワーク ピアリングをネクストホップとして VMware Engine トラフィックを転送するようにします。
返されたトラフィックの場合や、VMware Engine からリモート ネットワークに対して開始されたトラフィックの場合は、内部 パススルーネットワーク ロードバランサを、VPC ネットワーク ピアリング経由でプライベート サービス アクセス VPC ネットワークにアドバタイズされるネクストホップとして構成します。
インターネットへの一元化された下り(外向き)
このユースケースには、次の要件があります。
- インターネットへの下り(外向き)に対する一元化された URL フィルタリング、ロギング、トラフィック適用。
- Cloud Marketplace のネットワーク アプライアンスを使用した、VMware Engine ワークロードのカスタマイズされた保護。
次の図では、VMware Engine ワークロードからインターネットへの一元化された下り(外向き)ポイントをプロビジョニングするために必要なリソースを示します。
図 6 には、このアーキテクチャでリソースを設定および構成するために行う必要があるタスクが示されています。以下では、各タスクについて説明します。また、より詳細な説明や手順が書かれたドキュメントへのリンクも記載します。
内部 VPC ネットワークの内部パススルー ネットワーク ロードバランサを、VMware Engine ワークロードの下り(外向き)エントリ ポイントとしてプロビジョニングします。
- すべてのトラフィックをリッスンする単一の転送ルールを作成します。
- ネットワーク アプライアンスをロードバランサのバックエンドとして構成します。
パブリック IP アドレス(
nic0
)からのトラフィックを SNAT 処理するように、ネットワーク アプライアンスを構成します。ヘルスチェックに合格するため、ネットワーク アプライアンスでは、セカンダリ インターフェースまたはループバック インターフェースを使用して、転送ルールの IP アドレスに応答する必要があります。内部 VPC ネットワークを構成して、デフォルト ルートを VPC ネットワーク ピアリングを介してプライベート サービス アクセス VPC ネットワークにアドバタイズし、内部ロードバランサの転送ルールをネクストホップとするようにします。
インターネット ゲートウェイではなくネットワーク アプライアンスを介して下り(外向き)トラフィックを許可するため、オンプレミス接続を介したインターネット トラフィックのルーティングを有効にする場合と同じプロセスを使用します。
次のステップ
- VMware Engine について詳細を確認する。
- VPC ネットワーク設計のベスト プラクティスを確認する。
- VMware Engine ネットワーキングについて確認する。
- Cloud Load Balancing の詳細を学習する。
- Cloud Marketplace を調べる。