ECS インスタンスのインバウンドおよびアウトバウンドのアクセス制御ルールをセキュリティグループ内で定義します。
セキュリティグループルールを使用する前に、以下の点にご注意ください。
-
VPC 内では、セキュリティグループルールはインバウンドとアウトバウンドに分類され、パブリックネットワークおよび内部ネットワークのトラフィックを制御します。
-
セキュリティグループはステートフルです。セッションの有効期間は最大 910 秒です。接続が確立された後は、そのセッション内のすべてのトラフィックがセキュリティグループによって許可されます。たとえば、インバウンドパケットが許可されている場合、対応するアウトバウンドパケットも自動的に許可されます。
-
基本セキュリティグループの関連付けを変更する際に既存のセッションを中断させないためには、まず ECS インスタンスまたはエラスティックネットワークインターフェースを新しいセキュリティグループに追加し、約 10 秒待ってから古いセキュリティグループから削除してください。
-
セキュリティ上の理由から、TCP ポート 25 はデフォルトで制限されています。メール送信には代わりにポート 465 を使用してください。
-
カスタムルールを持たないセキュリティグループには、暗黙的なデフォルトルールが適用されます。基本セキュリティグループは、同一グループ内のインスタンスからの内部ネットワークへのインバウンドトラフィックをデフォルトで許可し、すべてのアウトバウンドトラフィックも許可します。一方、エンタープライズセキュリティグループは、インバウンドおよびアウトバウンドの両方のトラフィックをデフォルトで拒否します。詳細については、「基本セキュリティグループとエンタープライズセキュリティグループ」をご参照ください。
-
基本セキュリティグループの内部通信ポリシーは、グループ内のインスタンスが内部ネットワーク経由で相互にアクセスできるかどうかを制御します。デフォルトでは内部通信が許可されています。インスタンス間で内部アクセスが不要な場合は、最小権限の原則に従い、ポリシーを設定して相互隔離することを推奨します。詳細については、「基本セキュリティグループの内部通信ポリシーの変更」をご参照ください。
-
インスタンスが複数のセキュリティグループに属している場合、すべてのグループのルールが集約・ソートされ、デフォルトルールとともに適用されてトラフィックの許可または拒否が決定されます。詳細については、「セキュリティグループのカスタムルールマッチングポリシー」をご参照ください。
-
セキュリティグループルールには以下の制限があります。
-
エラスティックネットワークインターフェースは、最大 10 個のセキュリティグループに関連付けることができます。
-
単一のエラスティックネットワークインターフェースに対して、すべてのセキュリティグループにわたるインバウンドおよびアウトバウンドルールの合計数は 1,000 を超えることはできません。
詳細については、「セキュリティグループの使用制限」をご参照ください。
制限内に収め、複雑さを軽減するために、ルールは簡潔に保つことを推奨します。ヘルスチェック機能を使用して冗長なルールを検出し、削除してください。詳細については、「セキュリティグループ内の冗長なルールのチェック」をご参照ください。
-
ルールの構成要素
カスタムセキュリティグループルールは、以下の構成要素で構成されます。
-
プロトコルタイプ:一致させるネットワークプロトコル。以下の 2 種類の値をサポートします。
-
プロトコル名:TCP、UDP、ICMPv4、ICMPv6、GRE。
-
IP プロトコル番号:IANA 標準に準拠した 0 ~ 255 の整数。例:TCP は 6、UDP は 17、ICMPv4 は 1、ICMPv6 は 58、GRE は 47。
-
-
ポート範囲:宛先ポート。単一のポート範囲またはポートリストを指定します。
-
権限付与オブジェクト:トラフィックの送信元(インバウンド)または送信先(アウトバウンド)。CIDR ブロック、IP アドレス、セキュリティグループ、またはプレフィックスリストを指定します。
-
IPv4 アドレス:例:
192.168.0.100。 -
IPv4 CIDR ブロック:例:
192.168.0.0/24。 -
IPv6 アドレス:例:
2408:4321:180:1701:94c7:bc38:3bfa:9。システムは IPv6 アドレスを正規化します(例:2408:180:0000::1→2408:180::1)。 -
IPv6 CIDR ブロック:例:
2408:4321:180:1701::/64。システムは IPv6 CIDR ブロックを正規化します(例:2408:4321:180:0000::/64→2408:4321:180::/64)。 -
セキュリティグループ ID:お客様のアカウントまたは別のアカウント内のセキュリティグループへのアクセスを許可します。システムは、対象グループ内の ECS インスタンスのプライベート IP アドレスに基づいてトラフィックをマッチングします。たとえば、セキュリティグループ A へのアクセスを許可すると、グループ A 内のインスタンスのプライベート IP アドレスからのトラフィックが許可されます。
-
プレフィックスリスト ID:CIDR ブロックのコレクション。このルールは、実際の CIDR ブロック数ではなくプレフィックスリストの最大容量に応じてクォータエントリを消費します。詳細については、「プレフィックスリストの概要」をご参照ください。
-
-
権限付与ポリシー:マッチしたトラフィックに適用する操作 — 許可または拒否。
-
優先度:1 ~ 100 の値。値が小さいほど優先度が高くなります。ルールは、まず優先度、次に権限付与ポリシーの順でソートされます。詳細については、「カスタムセキュリティグループルールのマッチングポリシー」をご参照ください。
-
ルール方向:インバウンド(受信トラフィック)またはアウトバウンド(送信トラフィック)。
-
NIC タイプ:VPC 内では、ルールがパブリックネットワークおよび内部ネットワークの両方のアクセスを制御します。
-
ルール ID:各ルールにシステムが生成する一意の ID。この ID を使用してルールを変更または削除します。
ルールは、プロトコルタイプ、ポート範囲、および権限付与オブジェクトに基づいてトラフィックをマッチングし、その後許可または拒否します。インバウンドルールでは、権限付与オブジェクトが送信元アドレスにマッチし、アウトバウンドルールでは送信先アドレスにマッチします。ポート範囲は宛先ポートにマッチします。より正確な制御を行うには、5 タプルルールを使用してください。
ルールマッチングポリシー
ECS インスタンスは、1 つ以上のセキュリティグループに属することができます。トラフィック(例:インバウンド)を許可するかどうかを判断する際、システムは以下のマッチングポリシーを適用します。
-
システムは、関連付けられたすべてのセキュリティグループのインバウンドルールを結合し、以下のようにソートします。
-
優先度(値が小さいほど優先度が高い)。
-
権限付与ポリシー(拒否が許可よりも優先される)。
-
-
システムは、ソートされた順序で各ルールに対してトラフィックを評価します。マッチが見つかった時点で、そのルールの権限付与ポリシーに従ってトラフィックを許可または拒否します。
セキュリティグループには、暗黙的なデフォルトルールも存在します。詳細については、「基本セキュリティグループとエンタープライズセキュリティグループ」をご参照ください。
特殊なセキュリティグループルール
安定した ECS の運用およびクラウド機能の適切な動作を確保するため、特定のシナリオにおいてセキュリティグループは特定のネットワークトラフィックをデフォルトで許可します。これらのトラフィックは、カスタムルールでブロックすることはできません。該当するシナリオは以下のとおりです。
-
特定の条件におけるネットワーク接続性チェック:
基盤コンポーネントが変更された場合、Alibaba Cloud はネットワーク接続性を確認するために ECS インスタンスに対して Ping プローブを実行することがあります。セキュリティグループは、このプローブトラフィックをデフォルトで許可します。
-
ICMP(PMTUD エラーメッセージ):
ECS インスタンスが DF(Don't Fragment)フラグを設定した状態でパス MTU を超えるパケットを送信すると、正しい MTU を含む ICMP エラーを受信します。これにより、インスタンスはパケットサイズを縮小するよう指示されます。セキュリティグループは、このトラフィックをデフォルトで許可します。詳細については、「ジャンボフレーム」をご参照ください。
-
SLB トラフィック:
SLB インスタンス(ALB、NLB、CLB など)がバックエンドの ECS インスタンスにトラフィックを転送する際、セキュリティグループはこのトラフィックをデフォルトで許可します。インバウンドおよびアウトバウンドトラフィックの制御は、代わりに SLB インスタンスのセキュリティグループまたは ACL によって行われます。
-
MetaServer アクセス:
MetaServer は ECS インスタンスに不可欠なメタデータサービスを提供します。セキュリティグループは、MetaServer(100.100.100.200)へのアウトバウンドトラフィックをデフォルトで許可します。追加のルールは不要です。
セキュリティグループの 5 タプルルール
コンソールでは、セキュリティグループルールはデフォルトで以下の構成要素で構成されます。
-
インバウンドルール:送信元 IP アドレス、宛先ポート、プロトコルタイプ。
-
アウトバウンドルール:送信先 IP アドレス、宛先ポート、プロトコルタイプ。
より正確な制御を行うには、API を使用して 5 タプルルールを構成してください。5 タプルルールは既存のルールと完全に互換があり、以下の 5 つのフィールドが必要です:送信元 IP アドレス、送信元ポート、送信先 IP アドレス、宛先ポート、プロトコルタイプ。
特定の ECS インスタンスに対する送信先 IP(インバウンド時)または送信元 IP(アウトバウンド時)を指定する場合は、パブリック IP または EIP ではなく、そのプライベート IP アドレスを使用してください。パブリック IP および EIP は Alibaba Cloud ゲートウェイ上の NAT IP アドレスです。セキュリティグループはエラスティックネットワークインターフェース上で動作し、プライベート IP に基づいてトラフィックを制御します。
たとえば、以下の 5 タプルアウトバウンドルールは、172.16.1.0/32 の送信元ポート 22 から 10.0.0.1/32 への TCP トラフィックを許可します。
送信元 IP アドレス: 172.16.1.0/32
送信元ポート: 22
送信先 IP アドレス: 10.0.0.1/32
宛先ポート: 制限なし
プロトコルタイプ: TCP
ルール構成の例
Web サービスのホストやインスタンスへのリモート接続など、一般的なシナリオ向けにセキュリティグループルールを構成します。