ご利用の前に

当該コンテンツは、ローカリゼーションサービスを準備しております。早急にローカライズサービスをご提供できるよう、努めております。

Q. ACGとは、何ですか?

  • ACGは、Access Control Groupの略語として、サーバ間でのネットワーク接続制御及び管理ができるIP/Portベースのフィルタリング型ファイアウォールサービスです。お客様は、従来のファイアウォール(iptables、ufw、Windowsファイアウォール)を個別に管理する必要がなく、サーバグループに対するACG Ruleを簡単に設定して管理することができます。

Q. ACGの主な特徴は何ですか?

  • VMに一括適用及び修正、再利用が可能であり、管理が簡単
  • 手軽なACGルール(Rule)の設定及び管理
  • サーバとサーバとの間のInboundネットワーク接続の制御

Q. ACGを作成及び設定する手順は何ですか?

  • コンソールに接続した後、次の手順に沿って簡単にACGを作成することができます。

step

  1. コンソールへの接続:NAVERクラウドプラットフォームから提供するコンソールに接続します。“ncloud-default-acg”は基本設定されています。
  2. ACGの作成 : ACGメニューからACGの作成>ACG名を入力します。(又は、サーバ構築手順にて“4. ファイアウォールの設定”を通じて、新規のACGを作成したり、保有するACGがあれば選択することができます。)
  3. ACGの設定:プロトコル、アクセスソース、許容ポートを追加して適用します。
  4. ACGルールの確認:各ACGあたり設定したルールを確認することができます。
  5. ACGの削除:ACGを削除することができ、サーバが1台でもACGに適用されていれば削除することができません。

Q. ACGの利用の際に制限はありませんか?

* VPC Platform基準の制限事項

  • VPC当たり最大100個までのACGを生成することができます。
  • NIC当たり3つのACGを許可します。
  • Inbound / Outboundそれぞれ50個のACG規則を作成できます。

* Classic Platform基準の制限事項

  • アカウント当たり最大100個までのACGを作成できます。
  • 各ACGには、最大100個までのルール(Rule)を設定できます。
  • サーバは最大5つのACGに重複して含まれる場合があります。
  • サーバーが作成されると、選択した ACG は変更できず、返却前にその ACG ルールが適用されます。

Q. ACGの基本ルールは何ですか?

  • ACGは区分可能な名前をもち、それぞれの設定されたルールを有するインスタンス(instance)です。
  • ACGインスタンスには、Default ACGとCustom ACGとで区分します。
区分 定義 詳細説明
Default ACG 各アカウント毎に基本作成されているACG 全てのインバウンド・トラフィック(inbound traffic)を遮断する。(ルールとして明示されていない)
全てのアウトバウンド・トラフィック(outbound traffic)を許容する。(ルールとして明示されていない)
Default ACG内に属するサーバ同士のネットワークの双方向通信が許容される。(Default ACGにルールとして追加されている、削除可能)
リモート接続の基本ポート(Linux - 22、Windows - 3389)に対するTCPを許容する。(Default ACGにルールとして追加されている、削除可能)
Custom ACG お客様自らが作成したACG 全てのインバウンド・トラフィック(inbound traffic)を遮断する。(ルールとして明示されていない)
全てのアウトバウンド・トラフィック(outbound traffic)を許容する。(ルールとして明示されていない)

※ ルールとして明示されていない場合、ユーザーには表示されないが、内部では反映されて処理されているルールのことをいいます。 (inbound/outbound traffic)

※ ロードバランサーを作成すると、ロードバランサーのインスタンスに対するACGグループが自動的に作成されます。ユーザーによらず、ロードバランサー用のACG名は‘ncloud-load-balancer’で同じです。サービスを行うためには、ロードバランサーが実際にbindするサーバのACGにおいて、アクセスソースをロードバランサーにする許容ルールを追加する必要があります。

※ ncloud-load-balancerグループの場合、ACG許容ルールを追加した後でルールを削除するとしても、VMに対するLBの継続的なヘルスチェックのリクエストがあれば、許容ルールがなくともVMと通信ができる場合があるため、通信を確実に遮断するためには接続されたLBの再起動をお勧めします。

Q. ACGルールの設定は、どのようにすればいいですか?

  • NAVERクラウドプラットフォーム2.0は、基本的にサーバへの全てのインバウンド・トラフィックを遮断し、全てのアウトバウンド・トラフィックを許容します。 ACGに適用する全てのルールは、ACG内に属するサーバへのインバウンドトラフィックを許容します。 ルールには、ネットワークプロトコル、アクセスソース、ポートの設定が可能です。詳しい内容は、以下の表をご参照ください。
区分 設定方法 例示
プロトコル TCP、UDP、ICMPの中から選択
アクセスソース IPアドレス又はACG名に指定 1. IPアドレス
単一IPアドレス又はCIDR形式でIPネットワークアドレスを範囲指定
CIDRアドレスの入力の際には、ネットワークアドレスを入力して最後にスラッシュ(/)を入れてサブネットのbitsを入力
例)
全てのIP帯域を含む全インターネットを対象にオープンにする場合:例) 0.0.0.0/0
単一 IPアドレスを指定する場合:例)192.168.10.1/32又は192.168.10.1
CIDR入力の際に表記(ネットワークアドレス/サブネットのbits):例) 192.168.77.0/24、192.168.77.128/25、192.168.77.192/26
2. ACG名
対象のACGグループに属する全インスタンスをアクセスソースに指定
許容ポート TCP、UDPの中から選択 TCP(1~65535までの許容ポート範囲で指定可能)
UDP (1~65535までの許容ポート範囲で指定可能)
ICMP (全プロトコルに対して許容するか否かに対する選択のみ可能)

ACGの作成

Step 1. コンソールへの接続

コンソールに接続します。

① ServerメニューからACGを選択します。ACGメニューから基本提供される‘ncloud-default-acg’が自動的に作成されています。

② 新規のACGを作成するために、ACG を作成するをクリックします。

  • VPC 環境では、VPC ごとに最大 500 の ACG を作成できます。

  • 従来の環境では、アカウントごとに最大 100 の ACG を作成できます。

Step 2. ACGの作成

ACG名を入力します。

① 作成するACG名を入力します。

作成するをクリックします。

Step 3. 作成されたACGリストで確認

① ACG名、ACG ID、適用サーバ台数、メモ内容でACGが作成されていることをリストから確認することができます。

② ACGの内容は、サーバメニューからルールをみるにて確認することができます。

Step 4. ACGの設定

ACGルールを設定します。

① ルールを設定するACGを選択し、ACGを設定するをクリックし、当該ACGにルールを設定します。

② ルールの設定は、プロトコル、アクセスソース、許容ポートを入力して設定します。

  • プロトコル:TCP、UDP、ICMPの中から選択
  • アクセスソース:IPアドレス又はACG名の入力
    1. 全てのIP帯域を含む全インターネットを対象にオープンにする場合
      例) 0.0.0.0/0
    2. 単一IPアドレスを指定する場合
      例) 192.168.10.1/32又は192.168.10.1
    3. CIDR入力の際に表記(ネットワークアドレス/サブネットのbits)
      例) 192.168.77.0/24
      例) 192.168.77.128/25
      例) 192.168.77.192/26
  • 許容ポート:単一ポート(22)又は範囲の指定
    1. TCP (1~65535までの許容ポート範囲)
    2. UDP (1~65535までの許容ポート範囲)
    3. ICMPタイプは除く

③ ルールを入力した後、追加するをクリックし、設定したルール内容を確認します。

適用をクリックして最終的に適用します。

Step 5. ACGルールの確認

設定したACGルールを確認します。

① ACGを選択し、下段の内容をみるをクリックし、‘詳細情報’及び‘ルールをみる’を確認することができます。右のポップアップウィンドウでみるを通じて、各ACGに設定した複数のルールを確認する際に利用します。

Step 6. ACGの削除

ACGを削除します。

① 削除しようとするACGを選択し、上段のACGを削除するをクリックします。

  • 複数のACGを同時に削除することはできません。
  • サーバが1台でもACGに適用されていたら、削除ができません。

はいをクリックして削除します。

ACGルールの設定例

特定のIPからsshサービスにアクセスを許容

プロトコル アクセスソース 許容ポート
TCP 192.168.77.17 22

特定のIP帯域からsshサービスにアクセスを許容する場合(1)

プロトコル アクセスソース 許容ポート
TCP 192.168.77.0/24 22

特定のIP帯域からsshサービスにアクセスを許容する場合(2)

プロトコル アクセスソース 許容ポート
TCP 192.168.77.128/25 22

Test-ACGという名前をもつACGのインスタンスに割り当てられたサーバとの間でのsshアクセスを許容

プロトコル アクセスソース 許容ポート
TCP Test-ACG 22

ロードバランサー用のACGであるNcloud-load-balancerをソースに設定し、ロードバランサーのインスタンスからbindingされた実際のWebサーバへのネットワーク接続を許容

※ 複数のロードバランサーを作成するとしても、ACG名は同様の1つのみが使われます。

プロトコル アクセスソース 許容ポート
TCP ncloud-load-balancer 80

特定のIPからUDP 22-1025ポートへのアクセスを許容

プロトコル アクセスソース 許容ポート
UDP 192.168.77.17 22-1025

Webサービスに対しては全対象にオープン

プロトコル アクセスソース 許容ポート
TCP 0.0.0.0/0 80

関連情報へ

下のガイドから関連情報をご確認いただけます。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...