VPC環境で利用できます。
Network ACLと ACG
NAVERクラウドプラットフォームは、VPCのセキュリティを強化するために Network ACLと ACG機能を提供します。Network ACLを利用して Subnetのアクセスを制御し、Subnet内のサーバの通信セキュリティは ACGで制御し、強力なネットワークセキュリティ体系を構成できます。
Network ACLと ACGの特徴や違いをまとめると、次の通りです。
| Network ACL | ACG |
|---|---|
| Subnetアクセス時に動作 | サーバアクセス時に動作 |
Inbound/Outboundトラフィックの許可ルール、遮断ルールの両方を設定
|
Inbound/Outboundトラフィックの許可ルールのみを設定
|
| Stateless方式 - トラフィックステータスを保存しないため、Inboundルールと Outboundルールの別途の設定が必要 | Stateful方式 - トラフィックステータスを保存し、Inboundルールで許可されたトラフィックは Outboundを自動許可 |
| トラフィック許可の有無を決定する際にルールを優先順位で処理 | トラフィック許可の有無を決定する前にすべてのルールを評価 |
| 対象 Subnet内のすべてのサーバに適用(ACGを指定するユーザーに依存する必要がない) | サーバ起動時にセキュリティグループを指定するか、後からセキュリティグループをインスタンスと接続する時のみ適用 |
Network ACL画面
Network ACLを利用するための基本的な説明は、次の通りです。
| 領域 | 説明 |
|---|---|
| ① メニュー名 | 現在確認中のメニュー名、作成された Network ACL数 |
| ② 基本機能 | Network ACLの作成、Network ACL画面の更新 |
| ③ 作成後の機能 | 作成された Network ACLのルール変更、Network ACL削除 |
| ④ 検索ボックス | 検索キーワードを入力して  ボタンをクリックし、項目を検索 |
| ⑤ 検索フィルタ | 照会する Network ACLの範囲を指定 |
| ⑥ Network ACLリスト | 作成した Network ACLリストと情報の確認 |
Network ACLリスト確認
作成された Network ACLリストで Network ACL別情報を確認できます。確認する方法は、次の通りです。
VPCを作成すると自動的に Default Network ACLが作成され、リストで確認できます。
- NAVERクラウドプラットフォームコンソールの VPC環境で、
> Services > Networking > VPCメニューを順にクリックします。 - Network ACL > ACL Ruleメニューを順にクリックします。
- 作成した Network ACLリストが表示されると、サマリー情報を確認するか、Network ACLをクリックして詳細情報を確認します。
- Network ACL名: Network ACLの名前
- Network ACL ID: Network ACLの ID値
- VPC名: Network ACLが属する VPCの名前
- 適用 Subnet数: Network ACLが適用された Subnet数
- [Inboundルール] タブ: Network ACLに設定された Inboundルールリスト
- [Outboundルール] タブ: Network ACLに設定された Outboundルールリスト
- Inbound ACL数: 設定した Inboundルール数
- Outbound ACL数: 設定した Outboundルール数
- 作成日時: Network ACLを作成した日付
- 適用サブネット: Network ACLが適用された Subnetリスト
- メモ: Network ACLに関するメモであり、 [変更] ボタンをクリックして変更可能
Network ACL作成
Network ACLを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Networking > VPCメニューを順にクリックします。
- Network ACL > ACL Ruleメニューを順にクリックします。
- [Network ACL作成] ボタンをクリックします。
- Network ACL作成のポップアップが表示されたら、作成する Network ACLの名前を入力して適用する VPCを選択します。
- Network ACL名は英数字、ハイフン(-)を使用して3~30文字で入力
- [作成] ボタンをクリックします。
- ACL Rule画面の Network ACLリストで作成された Network ACLを確認します。
Network ACLルール設定
作成された Network ACLに Inboundと Outboundの詳細ルールを設定できます。詳細ルールを設定する方法は、次の通りです。
- ACL Rule画面で、ルールを設定する Network ACLを選択してから [Rule設定] ボタンをクリックします。
- Network ACLルール設定のポップアップが表示されたら、Inboundルールを入力してから [追加] ボタンをクリックしてルールを追加します。
- 優先順位: ルールの優先順位であり、0~199まで入力
- プロトコル: Inboundトラフィックのプロトコルを選択
- アクセスソース: Inboundトラフィックの IPアドレス帯域またはプリセットした Deny-Allow Groupを入力
- Deny-Allow Group設定に関する詳細は、Deny-Allow Group設定ガイドを参照
- ポート: Inboundトラフィックのポートで、単一の数字または範囲を指定
- 許可有無: 該当する Inboundトラフィックの許可または遮断の有無を選択
- メモ: 該当する Inboundトラフィックに関するメモを入力
: リストに追加された Inboundルールを削除
- [Outbound] タブをクリックして Outboundルールを入力してから [追加] ボタンをクリックしてルールを追加します。
- 優先順位: ルールの優先順位であり、0~199まで入力
- プロトコル: Outboundトラフィックのプロトコルを選択
- 目的地: Outboundトラフィックの IPアドレス帯域またはプリセットした Deny-Allow Groupを入力
- Deny-Allow Group設定に関する詳細は、Deny-Allow Group設定ガイドを参照
- ポート: Outboundトラフィックのポートで、単一の数字または範囲を指定
- 許可有無: 該当する Outboundトラフィックの許可または遮断の有無を選択
- メモ: 該当する Outboundトラフィックに関するメモを入力
- : リストに追加された Outboundルールを削除
- [適用] ボタンをクリックします。
- Network ACLリストから該当する Network ACLをクリックして、設定されたルールを確認します。
Network ACL削除
作成された Network ACLを削除する方法は、次の通りです。
以下の場合に該当する Network ACLは削除されません。
- 自動作成された Default Network ACL
- 1つ以上の Subnetに適用中の Network ACL
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Networking > VPCメニューを順にクリックします。
- Network ACL > ACL Ruleメニューを順にクリックします。
- 削除する Network ACLをクリックした後、 [削除] ボタンをクリックします。
- Network ACL削除のポップアップが表示されたら、 [削除] ボタンをクリックします。
Deny-Allow Group設定
Deny-Allow Groupは多数の IPアドレスグループであり、Network ACLの Inbound/Outboundルールを設定する場合にアクセスソースまたは目的地を対象として利用します。
Deny-Allow Group画面
Deny-Allow Groupを利用するための基本的な説明は次の通りです。
| 領域 | 説明 |
|---|---|
| ① メニュー名 | 現在確認中のメニュー名、作成された Deny-Allow Group数 |
| ② 基本機能 | Deny-Allow Group作成、Deny-Allow Group画面の更新 |
| ③ 作成後の機能 | 作成された Deny-Allow Groupの IPアドレス設定、Deny-Allow Group削除 |
| ④ 検索ボックス | 検索キーワードを入力して ボタンをクリックし、項目を検索 |
| ⑤ 検索フィルタ | 照会する Deny-Allow Groupの範囲を指定 |
| ⑥ Deny-Allow Groupリスト | 作成された Deny-Allow Groupリストと情報を確認 |
Deny-Allow Groupリストを確認
作成された Deny-Allow Groupリストでグループ別の情報を確認できます。確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Networking > VPCメニューを順にクリックします。
- Network ACL > Deny-Allow Groupメニューを順にクリックします。
- Deny-Allow Groupリストが表示されたら、サマリー情報を確認するか、Deny-Allow Groupグループをクリックして詳細情報を確認します。
- Deny-Allow Group名: Deny-Allow Groupの名前
- Deny-Allow Group ID: Deny-Allow Groupの ID値
- VPC名: Deny-Allow Groupが属する VPCの名前
- 適用 ACL Rule数: Deny-Allow Groupが適用された Network ACL数
- 適用 Network ACL: Deny-Allow Groupが適用された Network ACLリスト
- 登録された IPアドレス: Deny-Allow Groupに登録された IPアドレスリスト
- メモ: Deny-Allow Groupに関するメモであり、 [変更] ボタンをクリックして変更可能
Deny-Allow Group作成
Deny-Allow Groupを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Networking > VPCメニューを順にクリックします。
- Network ACL > Deny-Allow Groupメニューを順にクリックします。
- [Group作成] ボタンをクリックします。
- Deny-Allow Group作成のポップアップが表示されたら、作成する Deny-Allow Groupの名前を入力して適用する VPCを選択します。
- Deny-Allow Group名は英数字、ハイフン(-)を使用して3~30文字で入力
- [作成] ボタンをクリックします。
- Deny-Allow Group画面の Deny-Allow Groupリストで作成されたグループを確認します。
1つの VPCにつき最大4つの Deny-Allow Groupを作成できます。
Deny-Allow Group IPアドレス登録
作成された Deny-Allow Groupに IPアドレスを登録できます。IPアドレスを登録する方法は、次の通りです。
-
Deny-Allow Group画面で IPアドレスを登録する Deny-Allow Groupを選択した後、 [IPアドレス設定] ボタンをクリックします。
-
Deny-Allow Group設定のポップアップが表示されたら、グループに登録する IPアドレスを入力します。
領域 説明 ① 入力欄 ② 大量入力 ③ 作成 ④ 削除 ⑤ IPアドレスリスト -
[確認] ボタンをクリックします。
-
Deny-Allow Groupリストから該当する Deny-Allow Groupをクリックして、登録された IPアドレスを確認します。
Deny-Allow Group削除
作成された Deny-Allow Groupを削除する方法は、次の通りです。
Network ACLルールで使用中の Deny-Allow Groupは削除されません。削除を希望する場合、そのグループが使用された Network ACLルールでグループを削除してから続けます。
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Networking > VPCメニューを順にクリックします。
- Network ACL > Deny-Allow Groupメニューを順にクリックします。
- 削除する Deny-Allow Groupをクリックし、 [削除] ボタンをクリックします。
- Deny-Allow Group削除のポップアップが表示されたら、 [はい] ボタンをクリックします。