VPG アウトバウンドルーティングフィルターを設定する
VPG アウトバウンドルーティングフィルターでは、VPG からインターネット、ピアリング先や専用線、仮想専用線での接続先環境へのアクセスを IP アドレスレンジで許可/拒否できます。
はじめに
当ガイドでは、VPG アウトバウンドルーティングフィルターを設定します。 手順は次のとおりです。
ステップ1: VPGを作成する
SORACOM のユーザーコンソールにログインします。 画面左上部のプルダウンメニューから「VPG」を選択します。
「VPG を追加」をクリックします。
VPG の名前を入力し、タイプは「Type-C」を選択します。
「インターネットゲートウェイを使う」は、インターネットへのルーティングを行うか、ピアリング先のみへのアクセスにするかの設定となります。 「インターネットゲートウェイを使う」を OFF にした場合は、インターネットアクセスを許可しない完全閉域網となります。ここでは、インタネットゲートウェイを ON にします。
「作成」をクリックすると、以下のように「状態」が「作成中」となります。
しばらく(3分程度)して、「実行中」となれば作成完了です。
ステップ2: アウトバウンドルーティングフィルターを設定する
次にアウトバウンドルーティングフィルターを設定します。ここでは 10.0.0.119
のみへのアクセスを許可します。
ユーザーコンソールで設定する
コンソールの「メニュー」->「VPG」から対象の VPG を選択し、「高度な設定」タブを開きます。
アウトバウンドルーティングフィルターを設定します。
10.0.0.119
へのアクセスのみを許可するため、全体(0.0.0.0/0
)を拒否 (deny) し、10.0.0.119/32
を許可 (allow) するように入力し、保存ボタンを押します。
API で設定する
コンソールの「メニュー」->「VPG」から対象の VPG を選択し、VPG IDを確認してください。
10.0.0.119
へのアクセスのみを許可するため、全体(0.0.0.0/0
)を拒否し、10.0.0.119/32
を許可するように設定します。
APIは以下のようになります。
curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" --header "X-Soracom-API-Key: <Soracom API Key>" --header "X-Soracom-Token: <Soracom Token>" -d "[
{
\"action\": \"deny\",
\"ipRange\": \"0.0.0.0/0\"
},
{
\"action\": \"allow\",
\"ipRange\": \"10.0.0.119/32\"
}
]" "https://api.soracom.io/v1/virtual_private_gateways/<vpg-id>/set_routing_filter"
<Soracom API Key>
- API Keyを入力します。<Soracom Token>
- API Tokenを入力します。<vpg-id>
- さきほど確認したVPG IDを指定します。
API Key、API TokenはAuthAPIにより取得できます。詳細は、/jp/docs/api_guideも合わせてご確認ください。
ステップ3: グループを作成し VPG を設定する
SORACOM ユーザーコンソールの左上のプルダウンメニューより「グループ」を選択します。
「追加」をクリックして、グループ名を入力し、グループを作成します。
作成したグループをクリックしグループ画面の「基本設定」から「SORACOM Air 設定」を開きます。
「SORACOM Air 設定」内に、以下のように「VPG (Virtual Private Gateway) 設定」がありますので、「ON」とし、ステップ2で作成した「VPG」を選択します。
「保存」をクリックします。
次に、IoT SIM をグループに所属さます。
「SIM 管理」メニューから、接続を行う SIM を選択し、「所属グループ変更」をクリックします。
先ほど作成したグループに所属させます。
- グループのVPGの設定変更をしたら、既に接続中のデバイスについては、設定変更後に一旦接続を切ってから繋ぎ直してください。セッション切断・再接続を行わないと、設定が反映されません。
- スマートフォンの場合、Airplane (機内)モードの On/Off を行うと、簡単にセッションを再作成できます。
ステップ4: 拒否アドレスにアクセスできないことを確認する
VPG を適用した IoT SIM から「10.0.0.119」にアクセスできること、これ以外にアクセスできないことを確認してください。
10.0.0.119 が Web サーバーであれば以下のように確認できます。
$ curl http://10.0.0.119/
<html lang="en">
......
また、ping が可能であれば、 ping 10.0.0.119
で確認することもできます。