GCP への Firewall Threat Defense Virtual の展開

Google Cloud Platform(GCP)上で Firewall Threat Defense Virtual を展開できます。GCP は、Google が提供する可用性の高いホスト環境でアプリケーションを実行できるパブリック クラウド コンピューティング サービスです。

GCP コンソールの [ダッシュボード(Dashboard)] に GCP プロジェクト情報が表示されます。

  • まだ選択していない場合は、[ダッシュボード(Dashboard)] で GCP プロジェクトを選択してください。

  • ダッシュボードにアクセスするには、[ナビゲーションメニュー(Navigation menu)] > [ホーム(Home)] > [ダッシュボード(Dashboard)]をクリックします。

GCP コンソールにログインし、GCP Marketplace で Cisco Firepower NGFW 仮想ファイアウォール(NGFWv)製品を検索し、Firewall Threat Defense Virtual インスタンスを起動します。次の手順では、GCP 環境を準備し、Firewall Threat Defense Virtual インスタンスを起動して Firewall Threat Defense Virtual を展開する方法について説明します。

概要

Firewall Threat Defense Virtual は、物理的な Cisco Secure Firewall Threat Defense(旧称 Firepower Threat Defense)と同じソフトウェアを実行して、仮想フォームファクタにおいて実証済みのセキュリティ機能を提供します。Firewall Threat Defense Virtualは、パブリック GCP に展開できます。その後設定を行うことで、時間の経過とともにロケーションを展開、契約、またはシフトする仮想および物理データセンターのワークロードを保護できます。

システム要件

GCP マシンタイプと Threat Defense Virtual バージョン

Firewall Threat Defense Virtual のニーズに合わせて Google 仮想マシンのタイプとサイズを選択します。現在、Firewall Threat Defense Virtual はコンピューティング最適化マシンと汎用マシン(標準タイプ、大容量メモリタイプ、高性能 CPU タイプ)のいずれもサポートしています。


(注)  


サポートされるマシンタイプは、予告なく変更されることがあります。


表 1. サポートされるコンピューティング最適化マシンタイプ

コンピューティング最適化マシンタイプ

属性

vNIC

Threat Defense Virtual バージョン

vCPU

メモリ(GB)

c2-standard-4

4

16 GB

4

7.0 以降

c2-standard-8

8

32 GB

8

7.0 以降

c2-standard-16

16

64 GB

8

7.0 以降

表 2. サポートされる汎用マシンタイプ

汎用マシンタイプ

属性

vNIC

Threat Defense Virtual バージョン

vCPU

メモリ(GB)

n1-standard-4

4

15

4

7.0 以降

n1-standard-8

8

30

8

7.0 以降

n1-standard-16

16

60

8

7.0 以降

n2-standard-4

4

16

4

7.0 以降

n2-standard-8

8

32

8

7.0 以降

n2-standard-16

16

64

8

7.0 以降

n2-highmem-4

4

32

4

7.0 以降

n2-highmem-8

8

64

8

7.0 以降

  • Firewall Threat Defense Virtual には、少なくとも 4 つのインターフェイスが必要です。

  • サポートされる vCPU の最大数は 16 です。

ユーザーは、GCP でアカウントを作成し、GCP Marketplace の Cisco Firepower NGFW 仮想ファイアウォール(NGFWv)製品を使用して VM インスタンスを起動し、GCP マシンタイプを選択します。

エンドツーエンドの手順

次のフローチャートは、Google Cloud Platform に Threat Defense Virtual を展開する際のワークフローを示しています。

ワークスペース

手順

GCP

GCP への Threat Defense Virtual の展開:VPC ネットワークを作成します([VPCネットワーク(VPC Networks)] > [サブネット(Subnet)] > [リージョン(Region)] > [IPアドレス範囲(IP address range)])。

GCP

GCP ヘの Threat Defense Virtual の展開:ファイアウォールルールを作成します([ネットワーキング(Networking)] > [VPCネットワーク(VPC networks)] > [ファイアウォール(Firewall)] > [ファイアウォールルールの作成(Create Firewall Rule)])。

GCP

GCP ヘの Threat Defense Virtual の展開:GCP Marketplace で「Cisco Secure Firewall」を検索します。

GCP

GCP ヘの Threat Defense Virtual の展開:Threat Defense Virtual の展開パラメータを設定します。

GCP

GCP ヘの Threat Defense Virtual の展開:ネットワーク インターフェイスを設定し、ファイアウォールルールを適用します。

GCP

GCP ヘの Threat Defense Virtual の展開:GCP に Threat Defense Virtual を展開します。

Management Center または Device Manager

Firewall Threat Defense Virtual を管理します。

前提条件

インターフェイスの要件

  • 管理インターフェイス(2):1 つは Firewall Threat Defense VirtualFirewall Management Center に接続するために使用されます。もう 1 つは診断目的に使用され、通過トラフィックには使用できません。

  • トラフィック インターフェイス(2):Firewall Threat Defense Virtual を内部のホストおよびパブリック ネットワークに接続するために使用されます。

通信パス

  • Firewall Threat Defense Virtual にアクセスするためのパブリック IP。

Firewall Threat Defense Virtual および GCP のガイドラインと制限事項

サポートされる機能

  • GCP Compute Engine での展開

  • インスタンスあたり最大 16 個の vCPU

  • ルーテッド モード(デフォルト)

  • ライセンス:BYOL のみをサポート

  • クラスタリング(7.2 以降)詳細については、『 パブリッククラウドにおける Threat Defense Virtual のクラスタリング』を参照してください。

  • Cisco Secure Firewall 7.1 以前のバージョンでは、 Firewall Management Center のみがサポートされています。Cisco Secure Firewall バージョン 7.2 以降では、Firewall Device Manager もサポートされます。

Firewall Threat Defense Virtual スマートライセンスのパフォーマンス階層

Firewall Threat Defense Virtual は、導入要件に基づいて異なるスループットレベルと VPN 接続制限を提供するパフォーマンス階層型ライセンスをサポートしています。

表 3. Firewall Threat Defense Virtual 権限付与に基づくライセンス機能の制限

パフォーマンス階層

デバイス仕様(コア/RAM)

レート制限

RA VPN セッション制限

FTDv5、100Mbps

4 コア/8 GB

100Mbps

50

FTDv10、1Gbps

4 コア/8 GB

1Gbps

250

FTDv20、3Gbps

4 コア/8 GB

3 Gbps

250

FTDv30、5Gbps

8 コア/16 GB

5 Gbps

250

FTDv50、10Gbps

12 コア/24 GB

10 Gbps

750

FTDv100、16 Gbps

16 コア/32 GB

16 Gbps

10,000

Firewall Threat Defense Virtual デバイスのライセンス取得のガイドラインについては、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』 の「Licensing」の章を参照してください。


(注)  


vCPU/メモリの値を変更するには、最初に Firewall Threat Defense Virtual デバイスの電源をオフにする必要があります。


パフォーマンスの最適化

Firewall Threat Defense Virtual の最高のパフォーマンスを実現するために、VM とホストの両方を調整することができます。詳細については、「GCP での仮想化の調整と最適化」を参照してください。

Receive Side ScalingFirewall Threat Defense Virtual は Receive Side Scaling(RSS)をサポートしています。これは、ネットワークアダプタによって複数のプロセッサコアにネットワーク受信トラフィックを分散するために使用されるテクノロジーです。バージョン 7.0 以降でサポートされています。詳細については、「Receive Side Scaling(RSS)用の複数の RX キュー」を参照してください。

展開

バージョン 7.4.3 以降を実行している Threat Defense 仮想インスタンスでは、最初の起動時にいくつかの初期化タスクが実行され、約 5 分後にコンソールが使用可能になります。この遅延は正常です。最初の起動から約 2 分以内にデバイスの電源がオフになっている場合、重要な初期化手順が中断され、セットアップが不完全になり予期しない動作をする可能性があります。

この問題を解決するには、新しいイメージを使用して仮想プラットフォームを再インストールする必要があります。

送受信キューの割り当て

ネットワークパケットを処理するために、特定の数の受信(RX)および送信(TX)キューが各 vNIC に割り当てられます。Google Cloud では、使用されるネットワーク インターフェイスのタイプ(VirtIO または gVNIC)に基づき、アルゴリズムを使用して、vNIC ごとにデフォルトの数の RX および TX キューが割り当てられます。

vNIC にキューを割り当てるために GCP で使用される方法は次のとおりです。

  • VirtIO:vCPU の数が vNIC の数で除算され、残りの値は破棄されます。

    たとえば、VM に 16 個の vCPU と 4 個の vNIC がある場合、vNIC ごとに割り当てられるキューの数は 16/4 = 4 です。

  • gVNIC:vCPU の数が vNIC の数で除算され、結果がさらに 2 で除算されます。

    たとえば、VM に 128 個の vCPU と 2 個の vNIC がある場合、割り当てられるキューの数は 128/2/2 = 2 です。

また、Compute Engine API を使用して新しい VM を作成すると場合、各 vNIC に割り当てられるキューの数をカスタマイズできます。ただし、カスタマイズする場合は、次のルールに従う必要があります。

  • 最小キュー数:vNIC ごとに 1 つ。

  • 最大キュー数:この数は、ドライバタイプに基づいて、vCPU 数または vNIC あたりの最大キュー数のうち、小さい方です。

    • VirtIO またはカスタムドライバを使用している場合、最大キュー数は 32 です。

    • gVNIC を使用している場合、最大キュー数は 16 です。

  • VM のすべての vNIC に割り当てられるキューの数をカスタマイズする場合、キュー割り当ての総数は、VM インスタンスに割り当てられた vCPU の数以下である必要があります。

デフォルトおよびカスタムキュー割り当ての詳細と例については、「デフォルトキューの割り当て」および「カスタムキューの割り当て」を参照してください。

Snort

  • Snort のシャットダウンに時間がかかったり、VM が全体的に遅くなったりといった異常な動作が見られる場合や、特定のプロセスが実行されるときには、Firewall Threat Defense Virtual および VM ホストからログを収集します。全体的な CPU 使用率、メモリ、I/O 使用率、および読み取り/書き込み速度のログの収集は、問題のトラブルシューティングに役立ちます。

  • Snort のシャットダウン時には、CPU と I/O の使用率が高くなります。十分なメモリがなく、専用の CPU がない単一のホスト上に多数の Firewall Threat Defense Virtual インスタンスが作成されている場合は、Snort のシャットダウンに時間がかかって Snort コアが作成されます。

アップグレード

GCP の Firewall Threat Defense Virtual のアップグレードは、Cisco Secure Firewall バージョン 7.1 から 7.2 へはサポートされていません。Cisco Secure Firewall バージョン 7.1 から 7.2 にアップグレードする場合は、再イメージ化を実行します。

サポートされない機能

  • IPv6

  • Firewall Threat Defense Virtual ネイティブ HA

  • トランスペアレント/インライン/パッシブ モード

  • ジャンボ フレーム

データインターフェイス への NIC マッピング

Cisco Secure Firewall バージョン 7.1 以前のリリースにおけるネットワーク インターフェイス カード(NIC)とデータインターフェイスのマッピングは次のとおりです。

  • nic0 – 管理インターフェイス

  • nic1 – 診断インターフェイス

  • nic2 – ギガビットイーサネット 0/0

  • nic3 – ギガビットイーサネット 0/1

Cisco Secure Firewall バージョン 7.2 以降、外部ロードバランサ(ELB)はパケットを nic0 にのみ転送するため、North-South トラフィックの移動を容易にするために nic0 にデータインターフェイスが必要です。

Cisco Secure Firewall バージョン 7.2 の NIC とデータインターフェイスのマッピングは次のとおりです。

  • nic0 – ギガビットイーサネット 0/0

  • nic1 – ギガビットイーサネット 0/1

  • nic2 – 管理インターフェイス

  • nic3 – 診断インターフェイス

  • nic4 – ギガビットイーサネット 0/2

    .

    .

    .

  • nic(N-2) – ギガビットイーサネット 0/N-4

  • nic(N-1) – ギガビットイーサネット 0/N-3

ネットワークトポロジの例

次の図は、Firewall Threat Defense Virtual 用に 4 つのサブネット(管理、診断、内部、外部)が GCP 内に設定されたルーテッド ファイアウォール モードの Firewall Threat Defense Virtual の推奨トポロジを示しています。

図 1. GCP 展開での Firewall Threat Defense Virtual の例

Cisco Secure Firewall Threat Defense Virtual デバイスの管理方法

Cisco Secure Firewall Threat Defense Virtual を管理するには、2 つのオプションがあります。

Cisco Secure Firewall Management Center

多数のデバイスを管理している場合、または Firewall Threat Defense で許可される、より複雑な機能や設定を使用したい場合は、組み込みの Firewall Device Manager の代わりに Firewall Management Center を使用してデバイスを設定します。詳細については、Cisco Secure Firewall Management Center を使用した Cisco Secure Firewall Threat Defense Virtual の管理を参照してください。


重要


Firewall Device ManagerFirewall Management Center の両方を使用して Firewall Threat Defense デバイスを管理することはできません。いったん Firewall Device Manager の統合管理を有効にすると、ローカル管理を無効にして、Firewall Management Center を使用するように管理を再設定しない限り、Firewall Management Center を使用して Firewall Threat Defense デバイスを管理することはできなくなります。一方、Firewall Threat Defense デバイスを Firewall Management Center に登録すると、Firewall Device Manager のオンボード管理サービスは無効になります。



注意    


現在、シスコには Firewall Device Manager の設定を Firewall Management Center に移行するオプションはありません。その逆も同様です。Firewall Threat Defense デバイス用に設定する管理のタイプを選択する際は、このことを考慮してください。


Cisco Secure Firewall Device Manager

Firewall Device Manager は、ほとんどの Firewall Threat Defense デバイス に含まれる Web インターフェイスです。これを使用して、小規模ネットワークで最も一般的に使用されるソフトウェアの基本的な機能を構成できます。特に、多数のデバイスを含む大規模なネットワークを制御するためのデバイス マネージャを必要としない、1 台もしくは数台のデバイスを含むネットワークを対象としています。詳細については、Cisco Secure Firewall Device Manager を使用した Cisco Secure Firewall Threat Defense Virtual の管理を参照してください。


(注)  


Firewall Device Manager をサポートしているデバイスのリストについては、Cisco Secure Firewall Threat Defense 互換性ガイド を参照してください。


クラウド提供型 Firewall Management Center

クラウド提供型 Firewall Management Center は、Cisco Secure Firewall Threat Defense Virtual デバイスを一元管理できるクラウドベースの管理プラットフォームです。クラウド提供型 Firewall Management Center は、Cisco Secure Firewall Threat Defense Virtual バージョン 7.0.3、7.2.0 以降でサポートされています。詳細については、クラウド提供型 Firewall Management Center を使用した Cisco Secure Firewall Threat Defense Virtual の管理を参照してください。


重要


クラウド提供型 Firewall Management Center を Firewall Device Manager とともに使用しながら、同じ Cisco Secure Firewall Threat Defense Virtual デバイスを管理することはできません。


GCP 環境の設定

Firewall Threat Defense Virtual の展開には、Firewall Threat Defense Virtualを展開する前に 4 つのネットワークを作成する必要があります。ネットワークは次のとおりです。

  • 外部サブネットの外部 VPC。

  • 内部サブネットの内部 VPC。

  • 管理サブネットの管理 VPC。

  • 診断 VPC または診断サブネット。

さらに、Firewall Threat Defense Virtual を通過するトラフィックフローを許可するようにルートテーブルと GCP ファイアウォールルールを設定します。ルートテーブルとファイアウォールルールは、Firewall Threat Defense Virtual 自体に設定されているものとは別になっています。関連するネットワークと機能に応じて、GCP ルートテーブルとファイアウォールルールに名前を付けます。ガイドとして、「GCP 上の FTDv のネットワークトポロジの例(Sample Network Topology for FTDv on GCP)」 を参照してください。

正常性プローブの構成に使用されるすべてのインターフェイスに対する GCP 正常性チェックのルートを設定できます。これは、GCP 正常性チェック用のルートがまだ利用可能になっていないインターフェイスで、より高いメトリックを持つルートを作成することで実現できます。

手順


ステップ 1

GCP コンソールで、[VPC networks] を選択し、[Create VPC Network] をクリックします。

ステップ 2

[名前(Name)] フィールドに、特定の名前を入力します。

ステップ 3

[Set MTU automatically] のチェックを外し、[Maximum transmission unit (MTU)] ドロップダウン メニューから、適切な MTU 値を選択します。

ステップ 4

[Subnet creation mode] で、[Custom] をクリックします。

ステップ 5

[Subnet] セクションで、[Add Subnet] をクリックして、新しいサブネットを作成します。

ステップ 6

新しいサブネット[名前(Name)] フィールドに、特定の名前を入力します。

ステップ 7

[地域(Region)] ドロップダウンリストから、展開に適した地域を選択します。4 つのネットワークはすべて同じリージョン内にある必要があります。

ステップ 8

[IP4 range] フィールドで、最初のネットワークのサブネットを CIDR 形式(10.10.0.0/24 など)で入力します。

ステップ 9

その他すべての設定はデフォルトのままで、 [作成(Create)] をクリックします。

ステップ 10

ステップ 1 〜 7 を繰り返して、残りの 3 つの VPC ネットワークを作成します。


ファイアウォールルールの作成

Firewall Threat Defense Virtual インスタンスの展開中に、管理インターフェイスのファイアウォールルールを適用します(Firewall Management Centerとの SSH および SFTunnel 通信を許可するため)。Firewall Threat Defense Virtual の導入を参照してください。要件に応じて、内部、外部、および診断インターフェイスのファイアウォールルールを作成することもできます。

手順


ステップ 1

GCP コンソールで、[Networking] > [VPC network] > [Firewall]を選択し、[Create Firewall Rule] をクリックします。

ステップ 2

[名前(Name)] フィールドに、ファイアウォールルールのわかりやすい名前を入力します(例:vpc-asiasouth-inside-fwrule)。

ステップ 3

[ネットワーク(Network)] ドロップダウンリストから、ファイアウォールルールを作成する VPC ネットワークの名前を選択します(例:ftdv-south-inside)。

ステップ 4

[ターゲット(Targets)] ドロップダウンリストから、ファイアウォールルールに適用可能なオプションを選択します(例:[ネットワーク内のすべてのインスタンス(All instances in the network)])。

ステップ 5

[Source filter] ドロップダウンリストから、サポートされている IP タイプ(たとえば IPv4 の範囲)を選択します。

ステップ 6

[Source IPv4 Ranges] フィールドに、送信元 IP アドレスの範囲を CIDR 形式で入力します(例:0.0.0.0/0)。

トラフィックは、これらの IP アドレス範囲内の送信元からのみ許可されます。

ステップ 7

[プロトコルとポート(Protocols and ports)] の下で、[指定されたプロトコルとポート(Specified protocols and ports)] を選択します。

ステップ 8

セキュリティルールを追加します。

ステップ 9

[作成(Create)] をクリックします。


Firewall Threat Defense Virtual の導入

以下の手順に従って、GCP マーケットプレイスから提供される Cisco Firepower NGFW 仮想ファイアウォール(NGFWv)を使用して Firewall Threat Defense Virtual インスタンスを展開できます。

手順


ステップ 1

GCP コンソールにログインします。

ステップ 2

ナビゲーションメニューの > [マーケットプレイス(Marketplace)]をクリックします。

ステップ 3

マーケットプレイスで「Cisco Firepower NGFW 仮想ファイアウォール(NGFWv)(Cisco Firepower NGFW virtual firewall (NGFWv))」を検索して、製品を選択します。

ステップ 4

[作成(Launch)] をクリックします。

  1. [展開名(Deployment name)]:インスタンスの一意の名前を指定します。

  2. ロール(Add Subnet):Threat Defense Virtual インスタンスを展開および管理するために必要な権限を持つサービスアカウントを選択します。

  3. イメージバージョン(Image version):展開する Threat Defense Virtual イメージのソフトウェアバージョンを選択します。

  4. [ゾーン(Zone)]Firewall Threat Defense Virtualを展開するゾーンを選択します。

  5. [マシンタイプ(Machine type)]システム要件に基づいて正しいマシンタイプを選択します。

  6. SSH キー(SSH key)(オプション):SSH キーペアから公開キーを貼り付けます。

    キーペアは、GCP が保存する公開キーと、ユーザーが保存する秘密キーファイルで構成されます。これらを一緒に使用すると、インスタンスに安全に接続できます。キーペアはインスタンスへの接続に必要となるため、必ず既知の場所に保存してください。

  7. このインスタンスにアクセスするためのプロジェクト全体の SSH キーを許可するかブロックするかを選択します。Google ドキュメント『Allowing or blocking project-wide public SSH keys from a Linux instance』を参照してください。

  8. [起動スクリプト(Startup script)]:インスタンスが起動するたびに自動化されたタスクを実行するために、Firewall Threat Defense Virtual インスタンスの起動スクリプトを作成できます。

    次に、[Startup script] フィールドにコピーして貼り付ける day0 構成の例を示します。

    サンプル 1
    {
    "AdminPassword": "<your_password>",
    "Hostname": "cisco-sf-gcp",
    "ManageLocally": "No",
    "FmcIp":  "<FMC_IP>",
    "FmcRegKey":"<FMC_regkey>",
    "FmcNatId":"<FMC_natid>"
    }
    サンプル 2
    {
    "AdminPassword": "<your_password>",
    "Hostname": "ftdv-gcp",
    "ManageLocally": "Yes"
    }

    ヒント

     

    実行エラーを防ぐには、JSON 検証ツールを使用して Day0 構成を検証する必要があります。

  9. ネットワークインターフェイス(Network interfaces):1)外部、2)内部、3)管理、4)診断のインターフェイスを設定します。

    (注)  

     

    インスタンスを作成した後では、インスタンスにインターフェイスを追加できません。不適切なインターフェイス構成でインスタンスを作成した場合は、インスタンスを削除し、適切なインターフェイス構成で再作成する必要があります。

    1. [ネットワーク(Network)] ドロップダウンリストから、[VPC network(VPC ネットワーク)](vpc-asiasouth-mgmt など)を選択します。

    2. [Subnetwork] ドロップダウンリストからサブネットを選択します。

    3. [外部 IP(External IP)] ドロップダウンリストから、適切なオプションを選択します。

      管理インターフェイスには、[外部 IP からエフェメラルへ(External IP to Ephemeral)] を選択します。内部および外部インターフェイスでは、これはオプションです。

    4. [完了(Done)] をクリックします。

  10. [ファイアウォール(Firewall)]:ファイアウォールルールを適用します。

    • [インターネットからの TCP ポート 22 のトラフィックを許可する(SSH アクセス)(Allow TCP port 22 traffic from the Internet (SSH access))] チェックボックスをオンにして、SSH を許可します。

    • [インターネットからの HTTPS のトラフィックを許可する(FMC access)(Allow HTTPS traffic from the Internet (FMC access))] チェックボックスをオンにして、Firewall Management Centerおよび管理対象デバイスが双方向の SSL 暗号化通信チャネル(SFTunnel)を使用して通信できるようにします。

    • [IP Forwarding] チェックボックスをオンにします。

ステップ 5

[展開(Deploy)] をクリックします。

(注)  

 

起動時間は、リソースの可用性など、さまざまな要因によって異なります。初期化が完了するまでに 7 ~ 8 分かかることがあります。初期化は中断しないでください。中断すると、アプライアンスを削除して、最初からやり直さなければならないことがあります。


次のタスク

GCP コンソールの [VM インスタンス(VM instance)] ページからインスタンスの詳細を表示します。インスタンスを停止および開始するための内部 IP アドレス、外部 IP アドレス、およびコントロールが表示されます。編集する場合は、インスタンスを停止する必要があります。

外部 IP を使用した Firewall Threat Defense Virtual インスタンスへの接続

Firewall Threat Defense Virtualインスタンスには、内部 IP と外部 IP が割り当てられます。外部 IP を使用してFirewall Threat Defense Virtualインスタンスにアクセスできます。

手順


ステップ 1

GCP コンソールで、[コンピューティングエンジン(Compute Engine)] > [VM インスタンス(VM instances)]を選択します。

ステップ 2

Firewall Threat Defense Virtual のインスタンス名をクリックすると、[VMインスタンスの詳細(VM instance details)] ページが開きます。

ステップ 3

[詳細(Details)] タブで、[SSH] フィールドのドロップダウンメニューをクリックします。

ステップ 4

[SSH] ドロップダウンメニューから、目的のオプションを選択します。

次の方法を使用してFirewall Threat Defense Virtualインスタンスに接続できます。

  • その他の SSH クライアントまたはサードパーティ製ツール:詳細については、Google ドキュメントの 「Connecting using third-party tools」を参照してください。

SSH を使用した Firewall Threat Defense Virtual インスタンスへの接続

UNIX スタイルのシステムから Firewall Threat Defense Virtual インスタンスに接続するには、SSH を使用してインスタンスにログインします。

手順


ステップ 1

次のコマンドを使用して、ファイルの権限を設定し、自分だけがファイルを読み取れるようにします。

$ chmod 400 <private_key>

ここで、

<private_key> は、アクセスするインスタンスに関連付けられた秘密キーを含むファイルのフルパスと名前です。

ステップ 2

インスタンスにアクセスするには、次の SSH コマンドを使用します。

$ ssh –i <private_key> <username>@<public-ip-address>

<private_key> は、アクセスするインスタンスに関連付けられた秘密キーを含むファイルのフルパスと名前です。

<username> は、Firewall Threat Defense Virtual インスタンスのユーザー名です。

<public-ip-address> は、コンソールから取得したインスタンスの IP アドレスです。


シリアルコンソールを使用した Firewall Threat Defense Virtual インスタンスへの接続

手順


ステップ 1

GCP コンソールで、[コンピューティングエンジン(Compute Engine)] > [VM インスタンス(VM instances)]を選択します。

ステップ 2

Firewall Threat Defense Virtualのインスタンス名をクリックすると、[VM インスタンスの詳細(VM instance details)] ページが開きます。

ステップ 3

[詳細(Details)] タブで、[シリアルコンソールへの接続(Connect to serial console)] をクリックします。

詳細については、Google ドキュメントの「シリアルコンソールとのやり取り」を参照してください。


Gcloud を使用した Firewall Threat Defense Virtual インスタンスへの接続

手順


ステップ 1

GCP コンソールで、[コンピューティングエンジン(Compute Engine)] > [VM インスタンス(VM instances)]を選択します。

ステップ 2

Firewall Threat Defense Virtualのインスタンス名をクリックすると、[VM インスタンスの詳細(VM instance details)] ページが開きます。

ステップ 3

[詳細(Details)] タブで、[SSH] フィールドのドロップダウンメニューをクリックします。

ステップ 4

[gcloud コマンドを表示(View gcloud command)] > [Cloud Shell で実行(Run in Cloud Shell)]をクリックします。

[Cloud Shell] ターミナルウィンドウが開きます。詳細については、Google ドキュメントの「gcloud コマンドラインツールの概要」、および「gcloud compute ssh」を参照してください。