続・GCE 絶対無課金
僕は Always Free な GCE を使い続けているが、VM は無料でも、一部海外との通信料は課金されてしまうことがある。以前も、中国からのアクセスがあって1円課金されたことがあった。
前回からしばらくは無事0円で利用できていたのだが、今回また、1円が課金されてしまった。
- Network Inter Region Egress from Americas to Sydney
今度はオーストラリアか!!
- 参考 : GCP 課金対象国からのアクセスを抑止する | 青星総合研究所
-
1 GB の北米から全リージョン宛て下りネットワーク(1 か月あたり、中国およびオーストラリアを除く)
-
中国はブロックしていたけど、オーストラリアはブロックしていなかった。
前回と同じ要領で、オーストラリアの国別 IP をブロックしても良いのだけど、今度は「日本の国別 IP のみ許可」という風にしてみた。
↑このサイトを参考に、次のようなスクリプト集を作っておいた。コレで IP 許可リストや IP 拒否リストの一括作成がしやすくなるだろう。
コレで日本の IP リストを許可してやり、既存の 0.0.0.0/0 からのアクセス許可ルールは削除。コレで日本からのアクセスのみ許可できた。自分のスマホや PC からはアクセス出来ておけおけ。
…そしたら、GitHub Actions からの死活監視用リクエストが届かなくなってしまった。GitHub Actions のホスト IP だけは許可してやりたい。
GitHub Actions が使う IP レンジは以下のメタ JSON で確認できる。
この JSON 中の actions 配列に入っている IPv4 と IPv6 を優先的に許可する。なお、GCP のファイアウォールルール1つの中で、IPv4 と IPv6 の形式は併存できないので、別々のルールで作ってやろう。
どうも話によると、上のメタ JSON に記載されていない IP を GitHub Actions が使う場合もあるっぽいが、今のところは問題ないからコレでヨシとする。
以上。
