- 印刷する
- PDF
ACG
- 印刷する
- PDF
Classic環境で利用できます。
ACGでは、 ACG メニューの画面構成とその情報について説明し、ACGを作成/設定/削除する方法について説明します。
ACG(Access Control Group)は、サーバ間ネットワークアクセスを制御して管理できる IPアドレス/Port基盤のフィルタリングファイアウォールサービスです。ACGを利用すると、既存ファイアウォール(iptables、ufw、Windowsファイアウォール)を個別に管理する必要がなく、サーバグループに対する ACGルールを手軽に設定して管理できます。NAVERクラウドプラットフォームで基本的に提供する ACGを使用するか、直接作成した ACGにルールを設定して使用できます。
- ACG利用時の制限事項は、次の通りです。
- ACGはアカウントごとに100個まで作成できます。
- 1つの ACGにはルールを100個まで設定できます。
- サーバは最大5個の ACGに重複して含めることができます。
- サーバ作成時に選択した ACGは変更できず、サーバ返却前まで当該 ACGルールが適用されます。
- ロードバランサの作成時、ロードバランサに対する ACG(ncloud-load-balancer)が自動的に作成されます。サービスを利用するには、ロードバランサが実際にバインドするサーバの ACGにアクセスソースをロードバランサとする許可ルールを追加する必要があります。
- ACGにロードバランサに対する許可ルールを追加して後でルールを削除しても、サーバに対するロードバランサの継続的なヘルスチェックのリクエストがある場合、継続してサーバと通信を行えます。サーバとの通信を遮断するには、接続されたロードバランサを再起動してください。
ACG情報確認
ACG画面から ACG情報を確認できます。
ACG画面
NAVERクラウドプラットフォームポータルで、 コンソール > Services > Compute > Server > ACG メニューを順にクリックすると、ACG画面を確認できます。
ACG画面は、以下のように構成されています。
領域 | 説明 |
---|---|
① メニュー名 | 現在確認中のメニューの名前、作成した ACG数 |
② 基本機能 | ACGメニューに初回アクセスすると提供される機能
|
③ 作成後の機能 | ACG作成後に提供される機能 |
④ ACGリスト | 作成した ACGのリスト
|
ACG作成
NAVERクラウドプラットフォームで ACGを作成しなくても Default ACG(ncloud-default-acg)が提供されますが、別途 ACGを作成して使用することもできます。Default ACGに関する詳細は、ACG の仕様をご参照ください。
ACGを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
- Services > Compute > Server メニューを順にクリックします。
- ACG メニューをクリックします。
- [ACG作成] ボタンをクリックします。
- ACG名を入力し、 [作成] ボタンをクリックします。
- ACGが作成され、ACGリストに表示されます。
- ユーザーが作成した ACGには、デフォルトで提供されるルールはありません。ACG設定で必ずルールを設定してください。
ACG設定
Default ACGや直接作成した ACGの詳細ルールを設定する方法は、次の通りです。
ACG Outboundルール関連の設定が存在しない場合、サーバから送信する Requestパケットが遮断されることがあるので、ご注意ください。
NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
Services > Compute > Server メニューを順にクリックします。
ACG メニューをクリックします。
ACGリストからルールを設定する ACGを選択し、 [ACG設定] ボタンをクリックします。
以下の表を参照して詳細ルールを入力し、 [追加] ボタンをクリックします。
項目 設定方法 例 プロトコル TCP、UDP、ICMPの中から選択 - アクセスソース IPアドレスまたは ACG名を入力 - IPアドレス
- 単一の IPアドレスまたは CIDR形式で IPアドレスのネットワークアドレス範囲を指定
- CIDR形式で入力する場合、ネットワークアドレスの後にスラッシュ(/)を含めてサブネットビット数を入力
- ACG名
- 対象 ACGに属するインスタンス全体をアクセスソースとして指定
- CIDRの入力例: 0.0.0.0/0, 192.168.1.0/24
- ACG名の入力例: my-acg-1(事前設定した ACG名)
許可ポート(サービス) TCP、UDPを選択する場合、許可ポート範囲を入力 - 22(sshサービス用)
- 3389 (Windowsリモート接続用)
メモ 必要に応じて簡単に入力 - すべてのルールを追加したら、 [適用] ボタンをクリックします。
- 設定したルールが ACGに適用されます。
ACGルールの設定例
よく使われる ACGルールは、次の通りです。
特定の IPアドレスから sshサービスへのアクセスを許可
プロトコル アクセスソース 許可ポート TCP 192.168.77.17 22 特定の IPアドレス帯域から sshサービスへのアクセスを許可(1)
プロトコル アクセスソース 許可ポート TCP 192.168.77.0/24 22 特定の IPアドレス帯域から sshサービスへのアクセスを許可(2)
プロトコル アクセスソース 許可ポート TCP 192.168.77.128/25 22 Test-ACGという名前を持つ ACGに割り当てられたサーバ間の sshアクセスを許可
プロトコル アクセスソース 許可ポート TCP Test-ACG 22 ロードバランサ用 ACGである ncloud-load-balancerをアクセスソースに設定し、ロードバランサがバインドするウェブサーバへのネットワークアクセスを許可
- ロードバランサを複数作成しても ACG名は同一である必要があります。
プロトコル アクセスソース 許可ポート TCP ncloud-load-balancer 80 特定の IPアドレスから UDP 22-1025ポートへのアクセスを許可
プロトコル アクセスソース 許可ポート UDP 192.168.77.17 22-1025 ウェブサービス全体のアクセスを許可
プロトコル アクセスソース 許可ポート TCP 0.0.0.0/0 80
ACG削除
ACGを削除する方法は、次の通りです。
- 複数の ACGを同時に削除することはできません。
- サーバに適用された ACGは削除できません。
- NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
- Services > Compute > Server メニューを順にクリックします。
- ACG メニューをクリックします。
- ACGリストから削除する ACGを選択し、 [ACG削除] ボタンをクリックします。
- 確認のポップアップの内容を確認し、 [確認] ボタンをクリックします。
- ACGが削除され、リストから消えます。