사용하기 전에

Q. ACG란 무엇인가요?

  • ACG는 Access Control Group의 약자로, 서버 간 네트워크 접근 제어 및 관리를 할 수 있는 IP/Port 기반 필터링 방화벽 서비스입니다. 고객은 기존 방화벽 (iptables, ufw, 윈도우 방화벽)을 개별적으로 관리할 필요 없이 서버 그룹에 대한 ACG Rule을 손쉽게 설정하고 관리할 수 있습니다.

Q. ACG 주요 특징에는 어떤 것이 있나요?

  • VM에 일괄 적용 및 수정, 재사용이 가능하여 관리가 용이
  • 쉬운 ACG 규칙(Rule) 설정 및 관리
  • 서버 및 서버간의 Inbound 네트워크 접근 제어

Q. ACG 생성 및 설정 절차는 어떻게 되나요?

  • 콘솔에 접속한 후 다음의 단계를 통해 쉽게 ACG를 생성할 수 있습니다.

step

  1. 콘솔 접속 : 네이버 클라우드 플랫폼에서 제공하는 콘솔에 접속합니다. “ncloud-default-acg”는 기본으로 설정되어 있습니다.
  2. ACG 생성 : ACG 메뉴에서 ACG 생성 > ACG 이름을 입력합니다.(또는 서버 생성 절차에서 “4. 방화벽 설정”을 통해 신규 ACG를 생성하거나 보유하고 있는 ACG가 있다면 선택할 수 있습니다.)
  3. ACG 설정 : 프로토콜, 접근소스, 허용 포트를 추가하고 적용합니다.
  4. ACG 규칙 보기 : 각 ACG당 설정한 규칙을 확인할 수 있습니다.
  5. ACG 삭제 : ACG를 삭제할 수 있으며, 서버가 1대라도 ACG에 적용되어 있으면 삭제할 수 없습니다.

Q. ACG 이용 시 제한사항은 없나요?

  • 계정당 최대 100개까지의 ACG를 생성할 수 있습니다.
  • 각 ACG에는 최대 100개까지의 규칙(Rule)을 설정할 수 있습니다.
  • 서버는 최대 5개의 ACG에 중복 포함될 수 있습니다.
  • 서버가 생성될 시 선택한 ACG는 변경이 불가하며, 반납 전까지 해당 ACG 규칙을 적용 받게 됩니다.

Q. ACG의 기본 규칙은 어떻게 되나요?

  • ACG는 구분 가능한 이름을 가지며, 각각의 설정된 규칙을 가지고 있는 개체(instance)입니다.
  • ACG 개체에는 Default ACG와 Custom ACG로 구분합니다.
구분 정의 상세 설명
Default ACG 각 계정마다 기본 생성되어 있는 ACG 모든 들어오는 연결(inbound traffic)을 차단함. (규칙으로 명시되어 있지 않음)
모든 나가는 연결(outbound traffic)을 허용함. (규칙으로 명시되어 있지 않음)
Default ACG 내 속한 서버들끼리의 네트워크 양방향 통신이 허용됨. (Default ACG에 규칙으로 추가되어 있음, 삭제가능)
원격 접속 기본 포트 (Linux - 22, Windows - 3389)에 대한 TCP 허용함. (Default ACG에 규칙으로 추가되어 있음, 삭제가능)
Custom ACG 고객이 자체적으로 생성한 ACG 모든 inbound traffic을 차단함. (규칙으로 명시되어 있지 않음)
모든 outbound traffic을 허용함. (규칙으로 명시되어 있지 않음)

※ 규칙으로 명시되어 있지 않은 경우 사용자에게 보이지는 않지만, 내부적으로 반영되어 처리되고 있는 규칙을 말합니다. (inbound/outbound traffic)

※ 로드밸런서를 생성하면 로드밸런서 개체에 대한 ACG 그룹이 자동으로 생성됩니다. 사용자에 상관없이 로드밸런서용 ACG 이름은 ‘ncloud-load-balancer’로 동일합니다. 서비스하기 위해서는 로드밸런서가 실제 bind하는 서버들의 ACG에서, 접근소스를 로드밸런서로 하는 허용 규칙을 추가해야 합니다.

※ ncloud-load-balancer 그룹의 경우 ACG 허용 규칙을 추가한 후에 규칙을 삭제하더라도 VM에 대한 LB의 지속적인 헬스체크 요청이 있으면 허용 규칙이 없어도 VM과 통신이 가능한 경우가 있으므로, 통신을 확실히 차단하려면 연결된 LB의 재시작을 권합니다.

Q. ACG 규칙 설정은 어떻게 하나요?

  • 네이버 클라우드 플랫폼 2.0은 기본적으로 서버에 모든 들어오는 연결(inbound traffic)을 차단, 모든 나가는 연결(outbound traffic)을 허용합니다. ACG에 적용한 모든 규칙들은 ACG 내 속하는 서버에 대해 들어오는 연결(inbound traffic)을 허용합니다. 규칙에는 네트워크 프로토콜, 접근소스, 포트 설정이 가능합니다. 자세한 내용은 아래 표를 참고하세요.
구분 설정방법 예시
프로토콜 TCP, UDP, ICMP 중 선택
접근소스 IP 주소 또는 ACG 명으로 지정 1. IP 주소
단일 IP 주소 또는 CIDR 형식으로 IP 네트워크 주소를 범위 지정
CIDR 주소 입력 시에는 네트워크 주소를 입력하고 뒤에 슬래시(/)를 포함하여 서브넷 bits를 입력
예시)
모든 IP대역을 포함한 인터넷 전체를 대상으로 오픈 하려는 경우: 예) 0.0.0.0/0
단일 IP 주소를 지정하는 경우: 예) 192.168.10.1/32 또는 192.168.10.1
CIDR 입력 시 표기 (네트워크 주소/서브넷 bits): 예) 192.168.77.0/24, 192.168.77.128/25, 192.168.77.192/26
2. ACG 명
대상 ACG 그룹에 속한 개체들 전체를 접근 소스로 지정
허용포트 TCP, UDP 중 선택 TCP (1~65535까지의 허용 포트 범위 지정 가능)
UDP (1~65535까지의 허용 포트 범위 지정 가능)
ICMP (프로토콜 전체에 대한 허용여부 선택만 가능)

ACG 생성

Step 1. 콘솔 접속

콘솔에 접속합니다.

① Server 메뉴에서 [ACG] 메뉴를 선택합니다. ACG 메뉴에서 기본 제공되는 ‘ncloud-default-acg’가 자동으로 생성되어 있습니다.

② 신규 ACG를 생성하려면 [ACG 생성] 버튼을 클릭합니다.

  • ACG는 최대 100개까지 만들 수 있습니다.

Step 2. ACG 생성

ACG 이름을 입력합니다.

① 생성할 ACG 이름을 입력합니다.

② [생성] 버튼을 클릭합니다.

Step 3. 생성된 ACG 리스트에서 확인

① ACG 이름, ACG ID, 적용서버대수, 메모 내용으로 ACG가 생성됨을 리스트에서 확인할 수 있습니다.

② ACG 내용은 서버 메뉴에서 [규칙보기]를 통해서도 확인 가능합니다.

Step 4. ACG 설정

ACG 규칙을 설정합니다.

① 규칙을 설정할 ACG를 선택하고 [ACG 설정] 버튼을 클릭하여 해당 ACG에 규칙을 설정합니다.

② 규칙 설정은 프로토콜, 접근소스, 허용포트를 입력하여 설정합니다.

  • 프로토콜: TCP, UDP, ICMP 중에서 선택
  • 접근 소스: IP 주소 또는 ACG명 입력
    1. 모든 IP대역을 포함한 인터넷 전체를 대상으로 오픈 하려는 경우
      예) 0.0.0.0/0
    2. 단일 IP 주소를 지정하는 경우
      예) 192.168.10.1/32 또는 192.168.10.1
    3. CIDR 입력 시 표기 (네트워크 주소/서브넷 bits)
      예) 192.168.77.0/24
      예) 192.168.77.128/25
      예) 192.168.77.192/26
  • 허용 포트: 단일 포트(22) 또는 범위 지정
    1. TCP (1~65535까지의 허용 포트 범위)
    2. UDP (1~65535까지의 허용 포트 범위)
    3. ICMP 타입은 제외

③ 규칙 입력 후 [추가] 버튼을 클릭하여 설정한 규칙 내용을 확인합니다.

④ [적용] 버튼을 클릭해야 최종 적용됩니다.

Step 5. ACG 규칙 보기

설정한 ACG 규칙을 확인합니다.

① ACG를 선택하고 하단의 [내용보기]를 클릭하여 ‘상세 정보’ 및 ‘규칙 보기’를 확인할 수 있습니다. 우측의 [팝업창으로 보기]를 통해서 각 ACG에 설정한 규칙을 여러 개 확인할 때 이용합니다.

Step 6. ACG 삭제

ACG를 삭제합니다.

① 삭제하고자 하는 ACG를 선택하고 상단의 [ACG 삭제] 버튼을 클릭합니다.

  • 복수 개의 ACG 삭제를 동시에 수행할 수 없습니다.
  • 서버가 한대라도 ACG에 적용되어 있으면 삭제가 불가합니다.

② [예] 버튼을 클릭하여 삭제합니다.

ACG 규칙 설정 예제

특정 IP에서 ssh 서비스로 접근을 허용

프로토콜 접근소스 허용포트
TCP 192.168.77.17 22

특정 IP대역에서 ssh 서비스로 접근을 허용하는 경우 (1)

프로토콜 접근소스 허용포트
TCP 192.168.77.0/24 22

특정 IP대역에서 ssh 서비스로 접근을 허용하는 경우 (2)

프로토콜 접근소스 허용포트
TCP 192.168.77.128/25 22

Test-ACG 라는 이름을 가진 ACG 개체에 할당된 서버들 상호간의 ssh 접근을 허용

프로토콜 접근소스 허용포트
TCP Test-ACG 22

로드밸런서용 ACG인 Ncloud-load-balancer를 소스로 설정하여, 로드밸런서 개체에서 binding된 실제 웹 서버로의 네트워크 접근을 허용

※ 여러 개의 로드밸런서를 생성하더라도 ACG 이름은 동일한 하나의 이름만 사용됩니다.

프로토콜 접근소스 허용포트
TCP ncloud-load-balancer 80

특정 IP에서 UDP 22-1025 포트로의 접근을 허용

프로토콜 접근소스 허용포트
UDP 192.168.77.17 22-1025

웹서비스에 대해서는 전체 대상으로 오픈하기

프로토콜 접근소스 허용포트
TCP 0.0.0.0/0 80

연관 정보 바로가기

아래 가이드에서 연관 정보를 확인할 수 있습니다.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...