ACG

Prev Next

VPC環境で利用できます。

ACGでは、 ACG メニューの画面構成とその情報について説明し、ACGを作成/設定/削除する方法について説明します。

ACG(Access Control Group)は、サーバ間ネットワークアクセスを制御して管理できる IPアドレス/Port基盤のフィルタリングファイアウォールサービスです。ACGを利用すると、既存ファイアウォール(iptables、ufw、Windowsファイアウォール)を個別に管理する必要がなく、サーバグループに対する ACGルールを手軽に設定して管理できます。NAVERクラウドプラットフォームで基本的に提供する ACGを使用するか、直接作成した ACGにルールを設定して使用できます。

参考
  • ACGは VPCごとに最大500個まで作成できます。
  • ACGはネットワークインターフェースごとに3つまで適用できます。
  • 1つの ACGには Inbound/Outboundルールをそれぞれ50個ずつ作成できます。

ACG情報確認

ACG画面から ACG情報を確認できます。

ACG画面

NAVERクラウドプラットフォームポータルで、 コンソール > Services > Compute > Server > ACG メニューを順にクリックすると、ACG画面を確認できます。

ACG画面は、以下のように構成されています。

server-acg-vpc_screen_ja

領域 説明
① メニュー名 現在確認中のメニューの名前、作成した ACG数
② 基本機能 ACGメニューに初回アクセスすると提供される機能
  • [ACG作成] ボタン: クリックして ACGを作成
  • [サービスの詳細を見る] ボタン: クリックして Server紹介ページへ移動
  • [ダウンロード] ボタン: クリックして ACGリストをエクセルファイルでダウンロード
  • [更新] ボタン: クリックして ACGリストを更新
③ 作成後の機能 ACG作成後に提供される機能
  • [ACG設定] ボタン: クリックして選択した ACGを設定
  • [ACG削除] ボタン: クリックして選択した ACGを削除
④ 検索ボックスとフィルタ ACG/適用サーバ/VPC名で ACGを検索でき、サーバの適用有無によってフィルタリング可能
⑤ ACGリスト 作成した ACGのリスト
  • ACG名: ACG作成時に入力した名前
  • ACG ID: ACG作成時に自動的に付与される固有 ID
  • VPC名: ACGが適用された VPCの名前
  • 適用 Network Interface数: 当該 ACGが適用されたネットワークインターフェースの数
  • 適用 Network Interface(サーバ): 当該 ACGが適用されたネットワークインターフェースのリスト
  • Inboundルール数: Inboundルールに設定されたルール数
  • Outboundルール数: Outboundルールに設定されたルール数
  • 作成日時: ACGが作成された日時
  • [Inboundルール] タブ: Inboundルール情報を表示
  • [Outboundルール] タブ: Outboundルール情報を表示

ACG作成

NAVERクラウドプラットフォームで VPCを作成すると自動的に Default ACGが作成されますが、別途 ACGを作成して使用することもできます。Default ACGに関する詳細は、ACG の仕様をご参照ください。

ACGを作成する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
  2. Services > Compute > Server メニューを順にクリックします。
  3. ACG メニューをクリックします。
  4. [ACG作成] ボタンをクリックします。
  5. ACG名を入力して VPCを指定した後に [作成] ボタンをクリックします。
    • ACGが作成され、ACGリストに表示されます。
    • ユーザーが作成した ACGには、デフォルトで提供される Inboundルールと Outboundルールはありません。ACG設定で必ずルールを設定してください。

ACG設定

Default ACGや直接作成した ACGの詳細ルールを設定する方法は、次の通りです。

注意

ACG Outboundルール関連の設定が存在しない場合、サーバから送信する Requestパケットが遮断されることがあるので、ご注意ください。

  1. NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。

  2. Services > Compute > Server メニューを順にクリックします。

  3. ACG メニューをクリックします。

  4. ACGリストからルールを設定する ACGを選択し、 [ACG設定] ボタンをクリックします。

  5. 以下の表を参照して詳細ルールを入力し、 [追加] ボタンをクリックします。

    項目 設定方法
    プロトコル TCP、UDP、ICMP、PROTOCOL NUMBERの中から選択 -
    アクセスソース IPアドレスまたは ACG名を入力
    • IPアドレス
      • 単一の IPアドレスまたは CIDR形式で IPアドレスのネットワークアドレス範囲を指定
      • CIDR形式で入力する場合、ネットワークアドレスの後にスラッシュ(/)を含めてサブネットビット数を入力
    • ACG名
      • 対象 ACGに属するインスタンス全体をアクセスソースとして指定
    • CIDRの入力例: 0.0.0.0/0, 192.168.1.0/24
    • ACG名の入力例: my-acg-1(事前設定した ACG名)
    許可ポート TCP、UDPを選択する場合、許可ポート範囲を入力
    • 22(sshサービス用)
    • 3389 (Windowsリモート接続用)
    メモ 必要に応じて簡単に入力 -
    • PROTOCOL NUMBERで定義された番号は、IANAで確認できます。

  6. すべてのルールを追加したら、 [適用] ボタンをクリックします。

    • 設定したルールが ACGに適用されます。

ACGルールの設定例

よく使われる ACGルールは、次の通りです。

  • 特定の IPアドレスから sshサービスへのアクセスを許可

    プロトコル アクセスソース 許可ポート
    TCP 192.168.77.17 22

  • 特定の IPアドレス帯域から sshサービスへのアクセスを許可(1)

    プロトコル アクセスソース 許可ポート
    TCP 192.168.77.0/24 22

  • 特定の IPアドレス帯域から sshサービスへのアクセスを許可(2)

    プロトコル アクセスソース 許可ポート
    TCP 192.168.77.128/25 22

  • Test-ACGという名前を持つ ACGに割り当てられたサーバ間の sshアクセスを許可

    プロトコル アクセスソース 許可ポート
    TCP Test-ACG 22

  • ロードバランサ用 ACGである ncloud-load-balancerをアクセスソースに設定し、ロードバランサがバインドするウェブサーバへのネットワークアクセスを許可

    • ロードバランサを複数作成しても ACG名は同一である必要がある
    プロトコル アクセスソース 許可ポート
    TCP ncloud-load-balancer 80

  • 特定の IPアドレスから UDP 22-1025ポートへのアクセスを許可

    プロトコル アクセスソース 許可ポート
    UDP 192.168.77.17 22-1025

  • ウェブサービス全体のアクセスを許可

    プロトコル アクセスソース 許可ポート
    TCP 0.0.0.0/0 80

ACG削除

ACGを削除する方法は、次の通りです。

参考
  • 複数の ACGを同時に削除することはできません。
  • サーバに適用された ACGは削除できません。
  1. NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
  2. Services > Compute > Server メニューを順にクリックします。
  3. ACG メニューをクリックします。
  4. ACGリストから削除する ACGを選択し、 [ACG削除] ボタンをクリックします。
  5. 確認のポップアップの内容を確認し、 [はい] ボタンをクリックします。
    • ACGが削除され、リストから消えます。