デフォルトでは、同じ VPC 内の異なるセキュリティグループに属する ECS インスタンスは分離されており、内部ネットワーク経由で相互に通信することはできません。セキュリティグループルールを設定することで、社内ウェブサイトの構築、アプリケーションサービスのデプロイ、データベースクラスターの管理などのビジネス要件に応じて、この通信を有効にできます。本トピックでは、これを実現するための 4 つの方法について説明します。
前提条件
通信が必要な Elastic Compute Service (ECS) インスタンスは、同じ VPC 内に存在する必要があります。インスタンスが異なる VPC にある場合は、まず Cloud Enterprise Network (CEN) または VPC ピアリング接続を使用してネットワークを接続してから、セキュリティグループルールを設定する必要があります。
方法 2 と方法 3 は、同じグループ内のインスタンスが相互に通信できるという、基本セキュリティグループのデフォルトの動作に依存しています。デフォルトでインスタンスを分離するエンタープライズセキュリティグループを使用している場合は、方法 1 または方法 4 を使用する必要があります。
方法 1:単一の IP アドレスによる承認
ユースケース
この方法は、同じ VPC 内の少数の ECS インスタンスが内部ネットワーク経由で通信する必要があるシナリオに最適です。
長所と短所
-
長所: ルールが明確で理解しやすいです。
-
短所: セキュリティグループごとに 200 のルール上限に達する可能性があります。メンテナンスの負荷が高いです。
操作手順
通信が必要なインスタンスを見つけ、そのインスタンス ID をクリックします。
-
インスタンスの詳細 ページで、セキュリティグループ タブをクリックします。
-
設定するセキュリティグループを見つけ、操作 列で または ルール設定 をクリックします。
-
受信 タブをクリックします。
手动添加 をクリックし、以下の設定でセキュリティグループルールを追加します。
-
[許可ポリシー]: 許可。
-
[優先度]: 1。必要に応じて設定します。
-
[プロトコルタイプ]: 必要に応じて選択します。
-
[ポート範囲]: 必要に応じて設定します。
[アクセス元]: ソースインスタンスのプライベート IP アドレスを a.b.c.d/32 のフォーマットで入力します。ネットワークセグメント内のすべてのインスタンスを承認するには、192.168.1.0/24 のような CIDR 表記を使用します。
-
-
保存 をクリックします。
方法 2:インスタンスの同じセキュリティグループへの追加
ユースケース
すべてのインスタンスが 1 つの基本セキュリティグループを共有できる、シンプルなアプリケーションアーキテクチャ。
基本セキュリティグループ内のインスタンスは、追加のルールを必要とせず、デフォルトで通信できます。この動作は、エンタープライズセキュリティグループには適用されません。エンタープライズセキュリティグループの場合は、方法 1 または方法 4 を使用してください。
長所と短所
-
長所: ルールが明確で確認しやすいです。
-
短所: シンプルなアーキテクチャにしか適用できません。ネットワークアーキテクチャが変更された場合は、承認方法を更新する必要があります。
操作手順
方法 3:通信専用セキュリティグループのアタッチ
ユースケース
内部通信のために専用のセキュリティグループを必要とする多層アプリケーションアーキテクチャ。
長所と短所
-
長所: 複雑なネットワークアーキテクチャにも対応可能です。
-
短所: インスタンスが複数のセキュリティグループに属するため、ルールが読みにくくなります。
操作手順
同じ VPC 内に、新しい基本セキュリティグループ (例:「shared-comm-sg」) を作成します。この新しいグループにルールは必要ありません。詳細については、「セキュリティグループの作成」をご参照ください。
この新しい共有セキュリティグループを、内部通信が必要なすべてのインスタンスに関連付けます。これにより、同じ基本セキュリティグループ内のインスタンス間のトラフィックを許可するデフォルトルールが適用され、インスタンスが通信できるようになります。詳細については、「インスタンス (プライマリネットワークインターフェース) へのセキュリティグループの関連付け」をご参照ください。
方法 4:セキュリティグループ間の承認
ユースケース
インスタンスがセキュリティグループ ID によって相互に承認する、多層アプリケーションアーキテクチャ。
長所と短所
-
長所: 複雑なネットワークアーキテクチャにも対応可能です。
-
短所: インスタンスが複数のセキュリティグループに属するため、ルールが読みにくくなります。
操作手順
通信が必要なインスタンスを見つけ、そのインスタンス ID をクリックします。
-
インスタンスの詳細 ページで、セキュリティグループ タブをクリックします。
-
設定するセキュリティグループを見つけ、操作 列で または ルール設定 をクリックします。
-
受信 タブをクリックします。
手动添加 をクリックし、以下の設定でセキュリティグループルールを追加します。
-
[許可ポリシー]: 許可。
-
[優先度]: 1。必要に応じて設定します。
-
[プロトコルタイプ]: 必要に応じて選択します。
-
[ポート範囲]: 必要に応じて設定します。
-
[権限付与オブジェクト]:
-
自アカウント内: 送信元のセキュリティグループ ID を入力します。
-
クロスアカウント: 送信元のアカウント ID とセキュリティグループ ID を AccountID/SecurityGroupID のフォーマットで入力します。
-
-
-
保存 をクリックします。