GCP

Google CloudのCloudVPN(HA)構成で接続してみる

midnight480
以前検証した GCPとWatchGuard製FireBoxのVPN接続 の続編記録です。 背景 前回の記事にも掲載しましたが、Google CloudからVPNについて案内が来ています。 件名:[ご対応のお願い] 2021 年 10 月までに Classic VPN から高可用性 VPN に移行してください 本文: (一部抜粋) サポートを終了する次の Classic VPN 構成を使用した新しいトンネルは 2021 年 10 月以降は作成できなくなります。 また、これらの構成を使用している既存のトンネルはサポート対象外となります。 すでにインストールして使用しているトンネルは、引き続き正常に動作します。 ・ トンネルの接続先のゲートウェイに関係なく、動的ルーティング(Cloud Router)を使用するすべての Classic VPN トンネル。 ・ 使用するルーティング方法に関係なく、2 つの GCP Classic VPN ゲートウェイを相互接続する Classic VPN トンネル。 ・ 静的ルーティングを使用して GCP Classic VPN ゲートウェイを他のクラウド プロバイダのネットワークに接続する Classic VPN トンネル。 この変更に向けた準備をお手伝いできるよう、このメールをネットワーク エンジニアやサイト信頼性エンジニア(SRE)にご転送ください。 https://cloud.google.com/network-connectivity/docs/vpn/how-to/moving-to-ha-vpn CloudVPNとは?など疑問がある方は、次のブログを拝見するとよいです。 GCP の細かすぎて伝わらないハイブリッドネットワーキング CloudVPN(HA)については、公式ドキュメントでトポロジーについて次の通りに記載されています。 1 台の HA VPN ゲートウェイと 2 台の別々のピア VPN デバイスを接続し、各ピアデバイスが個別の外部 IP アドレスを持つ。 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 2 つの外部 IP アドレスを持つ。 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 1 つの外部 IP アドレスを持つ。 https://cloud.

GCPで実現するBeyondCorp RemoteAccess

midnight480
本記事 :ok: GCPのリソース :ng: ゼロトラストネットワークの概念および説明 BeyondCorp Remote Access BeyondCorp - 企業セキュリティに対する新しいアプローチ に Googleが提唱している ゼロトラストネットワーク の実現方法の一つです。 検証環境 Google Workspace アカウント ※2020.10にG Suite からブランド名変更 Google Domain でドメイン取得 お名前.comやAmazon Route53 あるいは自作など外部向けDNSサーバがあればよいです(後々でAレコード追加するため) Google Cloud Platformで、プロジェクトの管理者権限 WatchGuard社FireBox T-15w AWSとWatchGuard製FireBoxのVPN接続 検証のゴール Fireboxのログイン画面をインターネット経由でアクセスする アクセス元がAny-Trustedのみ許可のためインターネットからは本来アクセスできない設定 システム構成 設定 CloudVPN 別途掲載しているので省略します。 GCPとWatchGuard製FireBoxのVPN接続 GCP側の設定 以下。 On-prem側の設定 不要。GCPとのVPN接続しているため。 GAE 利用したコマンド各種 npm init で入力した内容は追加で一部あり 参考にある runtime:nodejs8 は2020年10月18日でサポート対象外のため、 runtime:nodejs10へ変更 mkdir gae-proxy cd gae-proxy/ npm init npm install http --save npm install http-proxy --save vi app.

GCPとWatchGuard製FireBoxのVPN接続

midnight480
背景 以前、 AWSとWatchGuard製FireBoxのVPN接続 という形で記事を記載しましたが、 今回は別記事のため、切り出して記事を作成します。 前回は、静的ルーティングでしたが、今回は動的ルーティングのBGPで設定しています。 クラウドとの接続は一般的にBGPで設定するケースが多いと思います。 WatchGuard社から公式にAWSとの接続例は日本語化されたドキュメントがありますが、 Google Cloudはまだローカライズされたドキュメントはないようです。 というところで、日本語でGoogle Cloudとの接続を行いました。 参考: Google Cloud BOVPN Integration Guide Google Cloud BOVPN Virtual Interface Integration Guide 設定 VPC ネットワーク MTUもデフォルトで1460に設定されています。 CloudVPN VPN作成 注意事項 10月15日(木) にGoogleから2021年10月以降のVPNについて通知が来ました。 件名:[ご対応のお願い] 2021 年 10 月までに Classic VPN から高可用性 VPN に移行してください 本文: (一部抜粋) サポートを終了する次の Classic VPN 構成を使用した新しいトンネルは 2021 年 10 月以降は作成できなくなります。 また、これらの構成を使用している既存のトンネルはサポート対象外となります。 すでにインストールして使用しているトンネルは、引き続き正常に動作します。 ・ トンネルの接続先のゲートウェイに関係なく、動的ルーティング(Cloud Router)を使用するすべての Classic VPN トンネル。 ・ 使用するルーティング方法に関係なく、2 つの GCP Classic VPN ゲートウェイを相互接続する Classic VPN トンネル。 ・ 静的ルーティングを使用して GCP Classic VPN ゲートウェイを他のクラウド プロバイダのネットワークに接続する Classic VPN トンネル。 この変更に向けた準備をお手伝いできるよう、このメールをネットワーク エンジニアやサイト信頼性エンジニア(SRE)にご転送ください。 WatchGuard BO仮想インターフェース設定 注意事項 WatchGuardは標準では、VPNの設定がセッションベースとなっていて、