【GCP/Terraform】VMインスタンスをサブネット内に作成し、Firewallで許可したIPからのみSSH接続する

7 min読了の目安(約6500字TECH技術記事

TL;DR

こんな人向け

  • GCPのVPCとかsubnetとかFirewallとかよくわかんない
  • GCPで踏み台サーバー立てたい
  • AWSと全然違うからよくわかんない
  • terraformでGCPさわりたい

解説

ネットワークとサブネット

まずは新しいVPCネットワークを定義します。
(VPCネットワークについて: https://cloud.google.com/vpc/docs/vpc?hl=ja
GCPプロジェクトを作成すると、デフォルトのVPCネットワークが作成されますが、こちらは公開設定されているので使いません。
VPCネットワークはグローバルリソースなので、リージョンやゾーンは指定しません。

resource "google_compute_network" "my_network" {
  name                    = "my-network"
  # リージョンごとにサブネットを自動で作成してくれます。今回は使わないのでfalseにします。
  auto_create_subnetworks = false
}

次にVPCネットワーク内にサブネット定義します。
サブネットはリージョンリソースで、サブネットごとにIPアドレスの範囲を指定します。
GCPでは、サブネットを作成すると、自動でデフォルトゲートウェイとルートが設定されます
デフォルトゲートウェイについて -> https://cloud.google.com/vpc/docs/vpc?hl=ja#affiliated_resources
ルートについて -> https://cloud.google.com/vpc/docs/routes?hl=ja#types_of_routes

resource "google_compute_subnetwork" "my_subnetwork" {
  name   = "my-subnetwork"
  region = "asia-northeast1"

  # サブネットで使用したい内部IPアドレスの範囲を指定する
  ip_cidr_range = "10.0.0.0/16"
  network       = google_compute_network.my_network.self_link

  # CloudLoggingにFlowLogログを出力したい場合は設定する
  log_config {
    metadata = "INCLUDE_ALL_METADATA"
  }
}

サブネット内にVMインスタンスを作成する

VMインスタンスに付与するservice accountを作成することをGoogleが推奨しているので、service accountも定義します。

resource "google_service_account" "my_service_account_for_bastion" {
  account_id   = "my-service-account-for-bastion"
  display_name = "My Service Account For Bastion"
}

resource "google_compute_instance" "bastion" {
  # 好きな名前、マシンタイプ、ゾーンに作成してください
  name         = "bastion"
  machine_type = "f1-micro"
  zone         = "asia-northeast1-a"

  # Firewallでタグごとにルールを設定したいので、VMインスタンスにタグを設定しておく
  tags = ["bastion-tag"]

  # すきなディスクを選んでください
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-10"
    }
  }

  network_interface {
    # 自分で定義したsubnetwork内にインスタンスを起動する
    network    = google_compute_network.my_network.name
    subnetwork = google_compute_subnetwork.my_subnetwork.name
    # 外部IPアドレスを割り振る方法は次の2種類ある。静的外部IPアドレス、エフェメラル外部IPアドレス
    # 今回はエフェメラル外部IPアドレスを使うので、access_configの中は何も指定しない
    access_config {}
  }

  service_account {
    email  = google_service_account.my_service_account_for_bastion.email
    scopes = ["cloud-platform"]
  }

  scheduling {
    # 料金を抑えるためにプリエンプティブルにしておく
    preemptible = true
    # プリエンプティブルの場合は下のオプションが必須
    automatic_restart = false
  }
}

暗黙のFirewallルール

GCPの全てのVPCネットワークには2つの暗黙のFirewallルールがあります。

  • ほとんどの下りトラフィックを許可
  • すべての上りトラフィックを拒否

(詳細 -> https://cloud.google.com/vpc/docs/vpc?hl=ja#affiliated_resources
この暗黙のルールはコンソールに表示されません。なので、編集することもできません。

GCPではサブネットを作成すると自動でデフォルトゲートウェイとルートが設定されており、先ほど作成したVMインスタンスは外部IPアドレスが割り振られているので、もうSSH接続できそうなですが、まだできません。

上にあるように暗黙のFirewallルールにより、VMインスタンスへの上りのトラフィックは拒否されてしまいます。
なので、新たにFirewallルールを設定して、VMインスタンスへSSH接続できるようにします。

ネットワークにアクセスするためにFirewallを設定する

GCPはVPCネットワーク単位でFirewallを設定します。

resource "google_compute_firewall" "my_network" {
  name    = "my-network-firewall"
  network = google_compute_network.my_network.name

  # 今回は内向きを選択する
  direction = "INGRESS"

  # 通信を許可するprotocolとportを指定する
  allow {
    protocol = "tcp"
    ports    = ["22"]
  }

  # 対象のVMインスタンスのタグを指定する
  target_tags = ["bastion-tag"]
  
  # VMインスタンスへのSSH接続元IPアドレス範囲を指定する
  # 今使ってるグローバルIPアドレスだけを許可したい場合は
  # $ curl httpbin.org/ip
  # で取得したIPアドレスを指定する
  # (例: 123.123.123.123/32)
  source_ranges = ["0.0.0.0/0"]

  # CloudLoggingにFlowLogログを出力したい場合は設定する
  log_config {
    metadata = "INCLUDE_ALL_METADATA"
  }
}

SSH接続するユーザーにRoleを付与する

SSH接続するのに必要なRoleは以下になります

resource "google_project_iam_binding" "access_user" {
  role = google_project_iam_custom_role.my_custom_role.id

  members = [
    "user:許可したいGoogleユーザーのメールアドレス",
  ]
}

resource "google_project_iam_custom_role" "my_custom_role" {
  role_id = "MyCustomRole"
  title   = "My Custom Role"

  permissions = [
    "compute.projects.get",
    "compute.instances.get",
    "compute.instances.setMetadata",
    "iam.serviceAccounts.actAs",
  ]
}

なので、今回作成したVPCネットワーク内の外部IPアドレスを持つVMインスタンスにSSH接続するには、以下の両方が必要ということになります。

  • SSH接続するためのRoleを持つGoogleユーザーであること
  • Firewallルールで許可したIPアドレス範囲からのアクセスであること

実際にリソースを作ってみる

準備

作成してSSH接続してみる

#-------------------
# リポジトリをクローンする
#-------------------
$ git clone https://github.com/nekoshita/gcp-vm-instance-in-subnet-example
$ cd gcp-vm-instance-in-subnet-example

#-------------------
# グローバルIPアドレスの取得
#-------------------
$ curl httpbin.org/ip
# でグローバルIPアドレスを取得し(たとえば、123.123.123.123)、環境変数にセットする
$ export GLOBAL_IP_ADDRESS="123.123.123.123"

#-------------------
# terraform applyしてリソースを作成する
#-------------------
$ export GCP_PROJECT_ID="your-gcp-project-id"
$ export GCS_BUCKET_NAME="your-gcs-bucket-name"
$ export USER_MAIL="your-google-user-mail-to-allow-ssh-acccess@gmail.com"
$ bin/apply $GCP_PROJECT_ID $GCS_BUCKET_NAME $USER_MAIL $GLOBAL_IP_ADDRESS

#-------------------
# SSH接続する
#-------------------
$ export ZONE="asia-northeast1-a"
$ export VM_INSTANCE_NAME="bastion"
# GCPのprojectを作成したgoogleアカウントでログインする(すでにログインしてる場合は不要)
$ gcloud auth login
$ gcloud beta compute ssh --zone $ZONE $VM_INSTANCE_NAME --project $GCP_PROJECT_ID
# パスフレーズの入力を求められるので、適当なパスフレーズを入力してあげてください

#-------------------
# 最後にリソースの削除をお忘れなく!
#-------------------
$ export GCP_PROJECT_ID="your-gcp-project-id"
$ export GCS_BUCKET_NAME="your-gcs-bucket-name"
$ export USER_MAIL="your-google-user-mail-to-allow-ssh-acccess@gmail.com"
$ bin/destroy $GCP_PROJECT_ID $GCS_BUCKET_NAME $USER_MAIL $GLOBAL_IP_ADDRESS

ログをみてみる

サブネットのログをみる

GCPコンソールの VPC Network を開き、作成したサブネットを選択します。
「View flow logs」というリンクがあるので、それをクリックするとCloudLoggingのページが開きます。

VMインスタンに接続したあとならば、CloudLoggingの検索フィルターのところに "自分のグローバルIPアドレス" を追加すると、自分のアクセスしたログが見れるはずです。

Firewallルールのログをみる

GCPコンソールの Firewall を開き、作成したFirewallルールを選択します。
「view in Logs Explorer」というリンクがあるので、それをクリックするとCloudLoggingのページが開きます。

最後に

公式ドキュメントを元に理解したつもりですが、私の認識が間違っていたらご指摘いただけると嬉しいです!