GCPレガシーネットワークからVPCネットワークへの移行について
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、gcloud CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Google Cloud Platformのレガシーネットワークから最新のVPCネットワークへの移行方法について、リスクと対策を解説します。
ポリシーの説明
Google Cloud Platform(GCP)のレガシーネットワークは、GCPの初期に提供されていたネットワークモデルですが、現在は非推奨となっています。
新規作成することも出来ず、サポートもされないためまだ利用している方は移行するようにしましょう。
修復方法
コンソールでの修復手順
Google Cloud コンソールを使用して、レガシーネットワークをVPCネットワークに移行します。
前提条件
- 適切なIAM権限を持っていること:
compute.networks.create(新規VPCネットワーク作成)compute.networks.update(既存ネットワークの更新)compute.subnetworks.create(サブネット作成)compute.firewalls.create(ファイアウォールルール作成)
- 移行対象のリソースの把握(VM、ロードバランサー等)
- メンテナンスウィンドウの確保(推奨)
方法1: 単一リージョン変換(すべてのリソースが1つのリージョンにある場合)
- Google Cloud Consoleにログインし、VPCネットワークページに移動します
- レガシーネットワークを選択します
- 編集ボタンをクリックします
- サブネットモードセクションで、カスタムを選択します
- リージョンを選択し、適切なIPレンジを設定します
- 保存をクリックして変換を実行します
警告: この変換は一方向であり、元に戻すことはできません。変換中もネットワークトラフィックは中断されませんが、事前に十分なバックアップとテストを実施してください。
注意: レガシーネットワークからカスタムモードへの変換は、すべてのリソースが単一リージョンに存在する場合のみ可能です。複数リージョンにリソースがある場合は、方法2の新規VPCネットワークへの移行を推奨します。
方法2: 新規VPCネットワークへの移行(推奨)
- VPCネットワークページでネットワークを作成をクリックします
- 以下の設定を行います:
- 名前: production-vpc(任意の名前)
- サブネット作成モード: カスタム
- BGPルーティングモード: リージョン(または必要に応じてグローバル)
- 最大伝送単位(MTU): 1460
- サブネットを追加をクリックし、必要なサブネットを作成します:
- 名前: tokyo-subnet
- リージョン: asia-northeast1
- IPアドレス範囲: 10.0.1.0/24
- Private Google Access: オン
- フローログ: オン(セキュリティ監視のため)
- 作成をクリックしてVPCネットワークを作成します
- ファイアウォールルールを設定します:
- VPCネットワークページで作成したネットワークを選択
- ファイアウォールタブを選択
- ファイアウォールルールを追加をクリック
- 必要なルール(SSH、HTTPS、内部通信など)を追加
- リソースの移行を実行します:
- 新しいVPCネットワークにリソースを段階的に移行
- アプリケーションの動作確認
- DNSレコードやロードバランサーの設定を更新
最後に
この記事では、Google Cloud PlatformのレガシーネットワークからVPCネットワークへの移行方法について解説しました。
レガシーネットワークはセキュリティ機能が限定されており、現代のクラウドセキュリティ要件を満たすことができません。VPCネットワークへの移行により、サブネット分割、Private Google Access、VPC Flow Logsなどの高度なセキュリティ機能を活用でき、より安全なネットワーク環境を構築できます。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。
