ACG

Prev Next

Classic環境で利用できます。

ACGでは、 ACG メニューの画面構成とその情報について説明し、ACGを作成/設定/削除する方法について説明します。

ACG(Access Control Group)は、サーバ間ネットワークアクセスを制御して管理できる IPアドレス/Port基盤のフィルタリングファイアウォールサービスです。ACGを利用すると、既存ファイアウォール(iptables、ufw、Windowsファイアウォール)を個別に管理する必要がなく、サーバグループに対する ACGルールを手軽に設定して管理できます。NAVERクラウドプラットフォームで基本的に提供する ACGを使用するか、直接作成した ACGにルールを設定して使用できます。

参考
  • ACG利用時の制限事項は、次の通りです。
    • ACGはアカウントごとに100個まで作成できます。
    • 1つの ACGにはルールを100個まで設定できます。
    • サーバは最大5個の ACGに重複して含めることができます。
    • サーバ作成時に選択した ACGは変更できず、サーバ返却前まで当該 ACGルールが適用されます。
  • ロードバランサの作成時、ロードバランサに対する ACG(ncloud-load-balancer)が自動的に作成されます。サービスを利用するには、ロードバランサが実際にバインドするサーバの ACGにアクセスソースをロードバランサとする許可ルールを追加する必要があります。
  • ACGにロードバランサに対する許可ルールを追加して後でルールを削除しても、サーバに対するロードバランサの継続的なヘルスチェックのリクエストがある場合、継続してサーバと通信を行えます。サーバとの通信を遮断するには、接続されたロードバランサを再起動してください。

ACG情報確認

ACG画面から ACG情報を確認できます。

ACG画面

NAVERクラウドプラットフォームポータルで、 コンソール > i_menu > Services > Compute > Server > ACG メニューを順にクリックすると、ACG画面を確認できます。

ACG画面は、以下のように構成されています。

server-acg-classic_screen_ko

領域 説明
① メニュー名 現在確認中のメニューの名前、作成した ACG数
② 基本機能 ACGメニューに初回アクセスすると提供される機能
  • [ACG作成] ボタン: クリックして ACGを作成
  • [サービスの詳細を見る] ボタン: クリックして Server紹介ページへ移動
  • [ダウンロード] ボタン: クリックして ACGリストをエクセルファイルでダウンロード
  • [更新] ボタン: クリックして ACGリストを更新
③ 作成後の機能 ACG作成後に提供される機能
  • [ACG設定] ボタン: クリックして選択した ACGを設定
  • [ACG削除] ボタン: クリックして選択した ACGを削除
④ ACGリスト 作成した ACGのリスト
  • ACG名: ACG作成時に入力した名前
  • ACG ID: ACG作成時に自動的に付与される固有 ID
  • 適用サーバ数: 当該 ACGが適用されたサーバ数
  • 適用ルール数: ACGに設定されたルール数
  • 作成日時: ACGが作成された日時
  • 適用サーバ: 当該 ACGが適用されたサーバ情報
  • [ルールを見る] タブ: ACGに設定されたルール情報を表示

ACG作成

NAVERクラウドプラットフォームで ACGを作成しなくても Default ACG(ncloud-default-acg)が提供されますが、別途 ACGを作成して使用することもできます。Default ACGに関する詳細は、ACG の仕様をご参照ください。

ACGを作成する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの Classic環境で、 i_menu > Services > Compute > Serverメニューを順にクリックします。
  2. ACG メニューをクリックします。
  3. [ACG作成] ボタンをクリックします。
  4. ACG名を入力し、 [作成] ボタンをクリックします。
    • ACGが作成され、ACGリストに表示されます。
    • ユーザーが作成した ACGには、デフォルトで提供されるルールはありません。ACG設定で必ずルールを設定してください。

ACG設定

Default ACGや直接作成した ACGの詳細ルールを設定する方法は、次の通りです。

注意

ACG Outboundルール関連の設定が存在しない場合、サーバから送信する Requestパケットが遮断されることがあるので、ご注意ください。

  1. NAVERクラウドプラットフォームコンソールの Classic環境で、 i_menu > Services > Compute > Serverメニューを順にクリックします。

  2. ACG メニューをクリックします。

  3. ACGリストからルールを設定する ACGを選択し、 [ACG設定] ボタンをクリックします。

  4. 以下の表を参照して詳細ルールを入力し、 [追加] ボタンをクリックします。

    項目 設定方法
    プロトコル TCP、UDP、ICMPの中から選択 -
    アクセスソース IPアドレスまたは ACG名を入力
    • IPアドレス
      • 単一の IPアドレスまたは CIDR形式で IPアドレスのネットワークアドレス範囲を指定
      • CIDR形式で入力する場合、ネットワークアドレスの後にスラッシュ(/)を含めてサブネットビット数を入力
    • ACG名
      • 対象 ACGに属するインスタンス全体をアクセスソースとして指定
    • CIDRの入力例: 0.0.0.0/0, 192.168.1.0/24
    • ACG名の入力例: my-acg-1(事前設定した ACG名)
    許可ポート(サービス) TCP、UDPを選択する場合、許可ポート範囲を入力
    • 22(sshサービス用)
    • 3389 (Windowsリモート接続用)
    メモ 必要に応じて簡単に入力 -

  5. すべてのルールを追加したら、 [適用] ボタンをクリックします。

    • 設定したルールが ACGに適用されます。

ACGルールの設定例

よく使われる ACGルールは、次の通りです。

  • 特定の IPアドレスから sshサービスへのアクセスを許可

    プロトコル アクセスソース 許可ポート
    TCP 192.168.77.17 22

  • 特定の IPアドレス帯域から sshサービスへのアクセスを許可(1)

    プロトコル アクセスソース 許可ポート
    TCP 192.168.77.0/24 22

  • 特定の IPアドレス帯域から sshサービスへのアクセスを許可(2)

    プロトコル アクセスソース 許可ポート
    TCP 192.168.77.128/25 22

  • Test-ACGという名前を持つ ACGに割り当てられたサーバ間の sshアクセスを許可

    プロトコル アクセスソース 許可ポート
    TCP Test-ACG 22

  • ロードバランサ用 ACGである ncloud-load-balancerをアクセスソースに設定し、ロードバランサがバインドするウェブサーバへのネットワークアクセスを許可

    • ロードバランサを複数作成しても ACG名は同一である必要があります。
    プロトコル アクセスソース 許可ポート
    TCP ncloud-load-balancer 80

  • 特定の IPアドレスから UDP 22-1025ポートへのアクセスを許可

    プロトコル アクセスソース 許可ポート
    UDP 192.168.77.17 22-1025

  • ウェブサービス全体のアクセスを許可

    プロトコル アクセスソース 許可ポート
    TCP 0.0.0.0/0 80

ACG削除

ACGを削除する方法は、次の通りです。

参考
  • 複数の ACGを同時に削除することはできません。
  • サーバに適用された ACGは削除できません。
  1. NAVERクラウドプラットフォームコンソールの Classic環境で、 i_menu > Services > Compute > Serverメニューを順にクリックします。
  2. ACG メニューをクリックします。
  3. ACGリストから削除する ACGを選択し、 [ACG削除] ボタンをクリックします。
  4. 確認のポップアップの内容を確認し、 [確認] ボタンをクリックします。
    • ACGが削除され、リストから消えます。