G-gen の藤岡です。Terraform で VPC を作成し、デフォルトルートを削除するオプションを有効にし再度実行した際、Terraform 上ではエラーとならないものの、実際のデフォルトルートのリソースは削除されませんでした。今回はその事象の原因と解決方法を紹介します。

• 前提知識
• 実施内容
  • やりたかったこと
  • 初回の VPC 作成
    • デフォルトルート削除の試行
• 事象
• 原因
• 解決策
• デフォルトルート削除による影響
  • インターネットアクセス
  • 内部リソースへのアクセス
  • 限定公開の Google アクセス

前提知識

VPC のルートには以下の 4 種類があります。

• システム生成ルート
• カスタムルート
• ピアリングルート
• ポリシーベースのルート

このうち、システム生成ルートは VPC 作成時に自動で作成されるリソースです。この中には当記事で扱うシステム生成のデフォルトルートが含まれています。これは 0.0.0.0/0 へのパケットを VPC のデフォルトインターネットゲートウェイに向けるルートです。

0.0.0.0/0 へのルートがあることにより、セキュリティリスクやトラフィックの誤送信、ネットワーク効率の低下などの問題もあります。そのため、ユースケースによっては削除することが好ましい場合があります。

• 参考：ルート

実施内容

やりたかったこと

Terraform で Virtual Private Cloud (以下 VPC) を作成した後に、Terraform の delete_default_routes_on_create オプションを true にすることで自動生成されるデフォルトルート (0.0.0.0) を削除しようとしました。

想定としては、true にすることで、既存のデフォルトルートが削除されると考えていました。

初回の VPC 作成

以下のコードを実行し、VPC とサブネットを作成しました。delete_default_routes_on_create = true をコメントアウトし、他のオプションは最小にしています。

provider "google" {
  project = "${PROJECT_ID}"  // プロジェクト ID
  region  = "asia-northeast1"
}
  
terraform {
  required_version = "~> 1.3"
  required_providers {
    google = ">= 4.63.1"
  }
}
  
# Create vpc
resource "google_compute_network" "vpc_network" {
  name                    = "vpc"
  auto_create_subnetworks = "false"
  #   delete_default_routes_on_create = true  // デフォルトルート作成オプション
}
  
# Create subnet
resource "google_compute_subnetwork" "subnet" {
  name          = "subnet"
  ip_cidr_range = "10.0.0.0/24"
  network       = google_compute_network.vpc_network.name
}

上記の Terraform を実行後、gcloud コマンドで VPC のルートを確認すると、サブネットルートとデフォルトルートが作られています。

fujioka@cloudshell:~ (xxx)$ gcloud compute routes list --project=${PROJECT_ID} --filter="network=vpc"
NAME: default-route-71e4a7af65c1a91b
NETWORK: vpc
DEST_RANGE: 10.0.0.0/24
NEXT_HOP: vpc
PRIORITY: 0
  
NAME: default-route-8f27e96e5eb606ae
NETWORK: vpc
DEST_RANGE: 0.0.0.0/0
NEXT_HOP: default-internet-gateway
PRIORITY: 1000
fujioka@cloudshell:~ (xxx)$ 

tfstate ファイルは "delete_default_routes_on_create": false となっています。

{
  "version": 4,
  "terraform_version": "1.4.6",
  "serial": 17,
  "lineage": "xxx",
  "outputs": {},
  "resources": [
    {
      "mode": "managed",
      "type": "google_compute_network",
      "name": "vpc_network",
      "provider": "provider[\"registry.terraform.io/hashicorp/google\"]",
      "instances": [
        {
          "schema_version": 0,
          "attributes": {
            "auto_create_subnetworks": false,
            "delete_default_routes_on_create": false,
~

デフォルトルート削除の試行

デフォルトルートを削除するために17行目の delete_default_routes_on_create = true を有効にします。

provider "google" {
  project = "${PROJECT_ID}"  // プロジェクト ID
  region  = "asia-northeast1"
}
  
terraform {
  required_version = "~> 1.3"
  required_providers {
    google = ">= 4.63.1"
  }
}
  
# Create vpc
resource "google_compute_network" "vpc_network" {
  name                            = "vpc"
  auto_create_subnetworks         = "false"
  delete_default_routes_on_create = true // デフォルトルート作成オプション
}
  
# Create subnet
resource "google_compute_subnetwork" "subnet" {
  name          = "subnet"
  ip_cidr_range = "10.0.0.0/24"
  network       = google_compute_network.vpc_network.name
}

terraform apply を実行すると以下のように 1 changed と表示されました。

fujioka@cloudshell:~ (xxx)$ terraform apply
google_compute_network.vpc_network: Refreshing state... [id=projects/xxx/global/networks/vpc]
google_compute_subnetwork.subnet: Refreshing state... [id=projects/xxx/regions/asia-northeast1/subnetworks/subnet]
  
Terraform used the selected providers to generate the following execution plan. Resource actions are indicated with the following symbols:
  ~ update in-place

Terraform will perform the following actions:
  
  # google_compute_network.vpc_network will be updated in-place
  ~ resource "google_compute_network" "vpc_network" {
      ~ delete_default_routes_on_create           = false -> true
        id                                        = "projects/xxx/global/networks/vpc"
        name                                      = "vpc"
        # (7 unchanged attributes hidden)
    }
  
Plan: 0 to add, 1 to change, 0 to destroy.
  
Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.
  
  Enter a value: yes
  
google_compute_network.vpc_network: Modifying... [id=projects/xxx/global/networks/vpc]
google_compute_network.vpc_network: Modifications complete after 0s [id=projects/xxx/global/networks/vpc]
  
Apply complete! Resources: 0 added, 1 changed, 0 destroyed.
fujioka@cloudshell:~ (xxx)$ 

tfstate ファイルは "delete_default_routes_on_create": true となっています。

{
  "version": 4,
  "terraform_version": "1.4.6",
  "serial": 19,
  "lineage": "xxx",
  "outputs": {},
  "resources": [
    {
      "mode": "managed",
      "type": "google_compute_network",
      "name": "vpc_network",
      "provider": "provider[\"registry.terraform.io/hashicorp/google\"]",
      "instances": [
        {
          "schema_version": 0,
          "attributes": {
            "auto_create_subnetworks": false,
            "delete_default_routes_on_create": true,
~

事象

Terraform の実行後に VPC ルートを改めて確認すると、想定とは異なり、実際にはデフォルトルートは削除されていませんでした。

fujioka@cloudshell:~ (xxx)$ gcloud compute routes list --project=${PROJECT_ID} --filter="network=vpc"
NAME: default-route-71e4a7af65c1a91b
NETWORK: vpc
DEST_RANGE: 10.0.0.0/24
NEXT_HOP: vpc
PRIORITY: 0
  
NAME: default-route-8f27e96e5eb606ae
NETWORK: vpc
DEST_RANGE: 0.0.0.0/0
NEXT_HOP: default-internet-gateway
PRIORITY: 1000
fujioka@cloudshell:~ (xxx)$ 

原因

Terraform のドキュメントで今回のオプションを見ると以下のように記載されています。

delete_default_routes_on_create - (Optional) If set to true, default routes (0.0.0.0/0) will be deleted immediately after network creation. Defaults to false.

このオプションは「VPC 作成直後にデフォルトルートを削除する」オプションであり、既に作成済みの VPC には効力を発揮しない仕様であることが分かりました。

• 参考：google_compute_network

解決策

今回の場合は、手動でデフォルトルートを消すことで対応しました。

当記事のケースではルート自体を Terraform で管理していないため、手動の操作がその後の Terraform 実行には影響しませんでした。

デフォルトルートを削除した状態で後述するようなインターネットアクセス、内部リソースへのアクセス等が必要な場合は、個別で静的ルートを追加してください。

• 参考：静的ルートの追加と削除

デフォルトルート削除による影響

インターネットアクセス

デフォルトルートを削除するとインターネットへの経路を失い、Web サイトや外部サービスへアクセスできなくなる場合があります。これは Google Cloud や Amazon Web Services (AWS) 等のクラウドに限ったことではなくルーティングの問題です。

例として、インスタンスの運用面から考えると以下のような影響が挙げられます。

• インスタンスが Windows Server の場合、Windows Update ができなくなる
• インスタンスが Linux の場合、apt や yum 等のパッケージを公式リポジトリから入手できなくなる

他にも Python や Javascript のパッケージインストールでパブリックリポジトリを参照している場合も、インターネットへの経路がないため失敗します。

内部リソースへのアクセス

デフォルトルートはクラウド内のリソース間通信で使われる場合もあります。そのため、リソース間の接続や上位レイヤのアプリケーション動作に影響が生じる場合があります。 例として、以下のものが挙げられます。

• インスタンスが Windows Server の場合、ライセンス認証ができなくなる
• Cloud Load Balancing でヘルスチェックができなくなる（プローブ IP 範囲 へのルートが無くなるため）

参考：Compute EngineのWindows Serverでライセンス認証エラー(0xC004F074)

限定公開の Google アクセス

デフォルトルート削除による影響として ドキュメント には以下のように記載があります。

重要: 限定公開の Google アクセスのルーティング要件を満たすカスタム静的ルートがない場合、デフォルト ルートを削除すると、限定公開の Google アクセスが無効になることがあります。

但し、限定公開の Google アクセスで利用するドメイン名によって必要になるルートは異なりますので、詳細は以下の記事を参考に、適切な静的ルートを追加してください。 blog.g-gen.co.jp