はじめのProfessional Cloud Network Engineer認定取得講座⑯模擬試験から重要項目をピックアップして説明します! 〜その拾壱〜

クラウド

今回のブログは、Professional Cloud Network Engineer認定取得講座16回目です!今回は、「模擬試験から重要項目をピックアップして説明します! 〜その拾壱〜」です!

今回も、「Professional Cloud Network Engineer」認定資格の模擬試験から、私がピックアップした重要項目について説明します。模擬試験については、下記URLから受験することができます。

Professional Cloud Network Engineer 模擬試験

是非、最後までご覧いただけると嬉しいです。

VPCの静的ルートのネクストホップ

静的ルートとは、ルーティングプロトコルではなく、手動で設定するルートです。ネクストホップとは、宛先ネットワークに到達するためにパケットを転送する次のルーターのIPアドレスです。
ルーティングプロトコル・・・インターネットなどのネットワーク上で、データが目的地に届くように経路を決めるためのルール

VPCの静的ルートのネクストホップには、以下の2種類があります。

  • インターフェースベースのネクストホップ:ルータのインターフェースをネクストホップとして指定します。この場合、ルータは宛先ネットワークに到達するために、指定したインターフェースからパケットを転送します。
  • IPアドレスベースのネクストホップ:他のルーターのIPアドレスをネクストホップとして指定します。この場合、ルータは宛先ネットワークに到達するために、指定したIPアドレスを持つルーターにパケットを転送します。

IPアドレスベースのネクストホップは、インターネットへのアクセスや、複数のネットワークに接続している場合に使用されます。

インターフェースベースのネクストホップは、直接接続されているネットワークへのアクセスに使用されます。

また、静的ルートには、デフォルトルートと呼ばれる特殊なルートがあります。デフォルトルートは、宛先ネットワークが不明なパケットを転送するために使用されます。デフォルトルートのネクストホップは、インターネットへの接続先となるルーターのIPアドレスを指定します。

静的ルートのネクストホップを設定するには、Google Cloud Consoleまたはgcloudコマンドラインツールを使用します。

VPC フローログ

VPC フローログは、VPC ネットワーク内を通過するすべての IP トラフィックのログを記録する機能です。この機能を使用すると、ネットワークトラフィックを監視、分析、および記録して、セキュリティ違反を検出したり、ネットワークパフォーマンスを改善したりできます。

VPC フローログを有効にするには、

  1. Google Cloud Console で [VPC ネットワーク]を開きます。
  2. 更新するサブネットを選択し、編集を選択します。
  3. [フローログ] で [オン] を選択し、各種オプションを設定後、保存を選択します。

VPC フローログは、ログエクスプローラでアクセスできます。

VPC フローログには、次の情報が含まれます。

  • 送信元 IP アドレス
  • 宛先 IP アドレス
  • プロトコル
  • ポート
  • トラフィックの量
  • トラフィックの開始時刻

VPC フローログは、次の用途に使用できます。

  • セキュリティ違反の検出
  • ネットワークパフォーマンスの監視
  • ネットワークトラフィックの分析

具体的には、以下のことができます。

  • ネットワークトラフィックの量とパターンを分析して、異常を検出できます。
  • 特定の IP アドレスまたはポートからのトラフィックをブロックして、セキュリティを強化できます。
  • ネットワークパフォーマンスの問題を特定して、トラブルシューティングを行うことができます。

VPC フローログは、Google Cloud の VPC ネットワークを保護および監視するための重要なツールです。

ファイアウォールルールロギング

Google Cloud の VPC ファイアウォールルールロギングは、ファイアウォールルールの効果を監査、検証、分析するために使用できる機能です。ファイアウォールルールロギングを有効にすると、TCP と UDP の接続に関する次の情報がログに記録されます。

  • 接続の開始時刻
  • 接続の終了時刻
  • 送信元 IP アドレス
  • 送信元ポート
  • 宛先 IP アドレス
  • 宛先ポート
  • プロトコル
  • 接続の状態

ファイアウォールルールロギングは、次の目的で使用できます。

  • ファイアウォールルールが意図したとおりに機能しているかどうかを確認します
  • 特定のファイアウォールルールによって影響を受ける接続数を判別します
  • セキュリティ侵害の兆候を検出します

ファイアウォールルールロギングは、プロジェクトの IAM ポリシーで許可されているユーザーのみがアクセスできます。ファイアウォールルールロギングを有効にするには、コンソール、gcloud コマンドライン ツール、または API を使用できます。

仕様

  • ログに記録される接続はTCP接続とUDP接続に限られます。
  • ログエントリはVMの観点から記述されます。
  • ログエントリはベストエフォートベースで作成されます。
  • 共有VPCが関係する場合は、ホストプロジェクトに対する適切な権限が必要です。
  • デフォルトではロギングは無効です。

注意事項

  • ファイアウォールルールロギングは、プロジェクトの IAM ポリシーで許可されているユーザーのみがアクセスできます。
  • ファイアウォールルールロギングは、TCP と UDP の接続のみを記録します。他のプロトコルの接続を記録する場合は、パケットミラーリングを検討してください。

インバウンドフォワーダーIPアドレス

インバウンドフォワーダーIPアドレスとは、外部から内部ネットワークへの接続を許可するIPアドレスのことです。

具体的には、外部から内部ネットワークへの接続要求が、このIPアドレス宛てに送信されます。インバウンドフォワーダーは、この要求を内部ネットワークの適切な宛先に転送します。

インバウンドフォワーダーIPアドレスは、通常、ファイアウォールやロードバランサーなどのネットワークデバイスに設定されます。

インバウンドフォワーダーIPアドレスの設定は、次の2つの目的で使用されます。

  • セキュリティの向上:外部から内部ネットワークへの接続を制限することで、セキュリティを向上させることができます。
  • パフォーマンスの向上:外部から内部ネットワークへの接続を集中管理することで、パフォーマンスを向上させることができます。

インバウンドフォワーダーIPアドレスを設定する際は、次の点に注意する必要があります。

  • セキュリティの観点から、外部からアクセス可能なIPアドレスに設定する必要があります。
  • パフォーマンスの観点から、内部ネットワークのトラフィックを効率的に処理できるIPアドレスに設定する必要があります。

インバウンドフォワーダーIPアドレスの設定方法は、ネットワークデバイスによって異なります。具体的な設定方法については、ネットワークデバイスの取扱説明書を参照してください。

まとめ

本日は下記4点について説明しました。

  1. VPCの静的ルートのネクストホップ
  2. VPC フローログ
  3. ファイアウォールルールロギング
  4. インバウンドフォワーダーIPアドレス

これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです!

それでは、次回のブログで!

スポンサーリンク
タイトルとURLをコピーしました