ご利用の前に
当該コンテンツは、ローカリゼーションサービスを準備しております。早急にローカライズサービスをご提供できるよう、努めております。
Q. ACGとは、何ですか?
- ACGは、Access Control Groupの略語として、サーバ間でのネットワーク接続制御及び管理ができるIP/Portベースのフィルタリング型ファイアウォールサービスです。お客様は、従来のファイアウォール(iptables、ufw、Windowsファイアウォール)を個別に管理する必要がなく、サーバグループに対するACG Ruleを簡単に設定して管理することができます。
Q. ACGの主な特徴は何ですか?
- VMに一括適用及び修正、再利用が可能であり、管理が簡単
- 手軽なACGルール(Rule)の設定及び管理
- サーバとサーバとの間のInboundネットワーク接続の制御
Q. ACGを作成及び設定する手順は何ですか?
- コンソールに接続した後、次の手順に沿って簡単にACGを作成することができます。
- コンソールへの接続:NAVERクラウドプラットフォームから提供するコンソールに接続します。“ncloud-default-acg”は基本設定されています。
- ACGの作成 : ACGメニューからACGの作成>ACG名を入力します。(又は、サーバ構築手順にて“4. ファイアウォールの設定”を通じて、新規のACGを作成したり、保有するACGがあれば選択することができます。)
- ACGの設定:プロトコル、アクセスソース、許容ポートを追加して適用します。
- ACGルールの確認:各ACGあたり設定したルールを確認することができます。
- ACGの削除:ACGを削除することができ、サーバが1台でもACGに適用されていれば削除することができません。
Q. ACGの利用の際に制限はありませんか?
* VPC Platform基準の制限事項
- VPC当たり最大100個までのACGを生成することができます。
- NIC当たり3つのACGを許可します。
- Inbound / Outboundそれぞれ50個のACG規則を作成できます。
* Classic Platform基準の制限事項
- アカウント当たり最大100個までのACGを作成できます。
- 各ACGには、最大100個までのルール(Rule)を設定できます。
- サーバは最大5つのACGに重複して含まれる場合があります。
- サーバーが作成されると、選択した ACG は変更できず、返却前にその ACG ルールが適用されます。
Q. ACGの基本ルールは何ですか?
- ACGは区分可能な名前をもち、それぞれの設定されたルールを有するインスタンス(instance)です。
- ACGインスタンスには、Default ACGとCustom ACGとで区分します。
| 区分 | 定義 | 詳細説明 |
|---|---|---|
| Default ACG | 各アカウント毎に基本作成されているACG | 全てのインバウンド・トラフィック(inbound traffic)を遮断する。(ルールとして明示されていない) 全てのアウトバウンド・トラフィック(outbound traffic)を許容する。(ルールとして明示されていない) Default ACG内に属するサーバ同士のネットワークの双方向通信が許容される。(Default ACGにルールとして追加されている、削除可能) リモート接続の基本ポート(Linux - 22、Windows - 3389)に対するTCPを許容する。(Default ACGにルールとして追加されている、削除可能) |
| Custom ACG | お客様自らが作成したACG | 全てのインバウンド・トラフィック(inbound traffic)を遮断する。(ルールとして明示されていない) 全てのアウトバウンド・トラフィック(outbound traffic)を許容する。(ルールとして明示されていない) |
※ ルールとして明示されていない場合、ユーザーには表示されないが、内部では反映されて処理されているルールのことをいいます。 (inbound/outbound traffic)
※ ロードバランサーを作成すると、ロードバランサーのインスタンスに対するACGグループが自動的に作成されます。ユーザーによらず、ロードバランサー用のACG名は‘ncloud-load-balancer’で同じです。サービスを行うためには、ロードバランサーが実際にbindするサーバのACGにおいて、アクセスソースをロードバランサーにする許容ルールを追加する必要があります。
※ ncloud-load-balancerグループの場合、ACG許容ルールを追加した後でルールを削除するとしても、VMに対するLBの継続的なヘルスチェックのリクエストがあれば、許容ルールがなくともVMと通信ができる場合があるため、通信を確実に遮断するためには接続されたLBの再起動をお勧めします。
Q. ACGルールの設定は、どのようにすればいいですか?
- NAVERクラウドプラットフォーム2.0は、基本的にサーバへの全てのインバウンド・トラフィックを遮断し、全てのアウトバウンド・トラフィックを許容します。 ACGに適用する全てのルールは、ACG内に属するサーバへのインバウンドトラフィックを許容します。 ルールには、ネットワークプロトコル、アクセスソース、ポートの設定が可能です。詳しい内容は、以下の表をご参照ください。
| 区分 | 設定方法 | 例示 |
|---|---|---|
| プロトコル | TCP、UDP、ICMPの中から選択 | |
| アクセスソース | IPアドレス又はACG名に指定 | 1. IPアドレス 単一IPアドレス又はCIDR形式でIPネットワークアドレスを範囲指定 CIDRアドレスの入力の際には、ネットワークアドレスを入力して最後にスラッシュ(/)を入れてサブネットのbitsを入力 例) 全てのIP帯域を含む全インターネットを対象にオープンにする場合:例) 0.0.0.0/0 単一 IPアドレスを指定する場合:例)192.168.10.1/32又は192.168.10.1 CIDR入力の際に表記(ネットワークアドレス/サブネットのbits):例) 192.168.77.0/24、192.168.77.128/25、192.168.77.192/26 2. ACG名 対象のACGグループに属する全インスタンスをアクセスソースに指定 |
| 許容ポート | TCP、UDPの中から選択 | TCP(1~65535までの許容ポート範囲で指定可能) UDP (1~65535までの許容ポート範囲で指定可能) ICMP (全プロトコルに対して許容するか否かに対する選択のみ可能) |
ACGの作成
Step 1. コンソールへの接続
コンソールに接続します。
① ServerメニューからACGを選択します。ACGメニューから基本提供される‘ncloud-default-acg’が自動的に作成されています。
② 新規のACGを作成するために、ACG を作成するをクリックします。
VPC 環境では、VPC ごとに最大 500 の ACG を作成できます。
従来の環境では、アカウントごとに最大 100 の ACG を作成できます。
Step 2. ACGの作成
ACG名を入力します。
① 作成するACG名を入力します。
② 作成するをクリックします。
Step 3. 作成されたACGリストで確認
① ACG名、ACG ID、適用サーバ台数、メモ内容でACGが作成されていることをリストから確認することができます。
② ACGの内容は、サーバメニューからルールをみるにて確認することができます。
Step 4. ACGの設定
ACGルールを設定します。
① ルールを設定するACGを選択し、ACGを設定するをクリックし、当該ACGにルールを設定します。
② ルールの設定は、プロトコル、アクセスソース、許容ポートを入力して設定します。
- プロトコル:TCP、UDP、ICMPの中から選択
- アクセスソース:IPアドレス又はACG名の入力
- 全てのIP帯域を含む全インターネットを対象にオープンにする場合
例) 0.0.0.0/0 - 単一IPアドレスを指定する場合
例) 192.168.10.1/32又は192.168.10.1 - CIDR入力の際に表記(ネットワークアドレス/サブネットのbits)
例) 192.168.77.0/24
例) 192.168.77.128/25
例) 192.168.77.192/26
- 全てのIP帯域を含む全インターネットを対象にオープンにする場合
- 許容ポート:単一ポート(22)又は範囲の指定
- TCP (1~65535までの許容ポート範囲)
- UDP (1~65535までの許容ポート範囲)
- ICMPタイプは除く
③ ルールを入力した後、追加するをクリックし、設定したルール内容を確認します。
④ 適用をクリックして最終的に適用します。
Step 5. ACGルールの確認
設定したACGルールを確認します。
① ACGを選択し、下段の内容をみるをクリックし、‘詳細情報’及び‘ルールをみる’を確認することができます。右のポップアップウィンドウでみるを通じて、各ACGに設定した複数のルールを確認する際に利用します。
Step 6. ACGの削除
ACGを削除します。
① 削除しようとするACGを選択し、上段のACGを削除するをクリックします。
- 複数のACGを同時に削除することはできません。
- サーバが1台でもACGに適用されていたら、削除ができません。
② はいをクリックして削除します。
ACGルールの設定例
特定のIPからsshサービスにアクセスを許容
| プロトコル | アクセスソース | 許容ポート |
|---|---|---|
| TCP | 192.168.77.17 | 22 |
特定のIP帯域からsshサービスにアクセスを許容する場合(1)
| プロトコル | アクセスソース | 許容ポート |
|---|---|---|
| TCP | 192.168.77.0/24 | 22 |
特定のIP帯域からsshサービスにアクセスを許容する場合(2)
| プロトコル | アクセスソース | 許容ポート |
|---|---|---|
| TCP | 192.168.77.128/25 | 22 |
Test-ACGという名前をもつACGのインスタンスに割り当てられたサーバとの間でのsshアクセスを許容
| プロトコル | アクセスソース | 許容ポート |
|---|---|---|
| TCP | Test-ACG | 22 |
ロードバランサー用のACGであるNcloud-load-balancerをソースに設定し、ロードバランサーのインスタンスからbindingされた実際のWebサーバへのネットワーク接続を許容
※ 複数のロードバランサーを作成するとしても、ACG名は同様の1つのみが使われます。
| プロトコル | アクセスソース | 許容ポート |
|---|---|---|
| TCP | ncloud-load-balancer | 80 |
特定のIPからUDP 22-1025ポートへのアクセスを許容
| プロトコル | アクセスソース | 許容ポート |
|---|---|---|
| UDP | 192.168.77.17 | 22-1025 |
Webサービスに対しては全対象にオープン
| プロトコル | アクセスソース | 許容ポート |
|---|---|---|
| TCP | 0.0.0.0/0 | 80 |
関連情報へ
下のガイドから関連情報をご確認いただけます。
