すべてのプロダクト
Search

このプロダクト

    Microservices Engine:セキュリティグループルールの設定

    ドキュメントセンター

    Microservices Engine:セキュリティグループルールの設定

    最終更新日:Oct 23, 2025

    クラウドネイティブゲートウェイとバックエンドサービスがデプロイされているノードが異なるセキュリティグループにある場合、クラウドネイティブゲートウェイにバックエンドサービスへのアクセスを許可するセキュリティグループルールを設定する必要があります。

    背景情報

    セキュリティグループは、グループ内の Elastic Compute Service (ECS) インスタンスと Elastic Network Interface (ENI) のインバウンドおよびアウトバウンドトラフィックを制御する仮想ファイアウォールです。これにより、ECS インスタンスのセキュリティが強化されます。セキュリティグループは、ステートフルインスペクションとパケットフィルタリングを提供し、セキュリティグループの属性とルールの設定に基づいてクラウド内にセキュリティドメインを定義できます。詳細については、「セキュリティグループの概要」をご参照ください。

    クラウドネイティブゲートウェイを作成する際には、VPC とセキュリティグループのタイプを選択する必要があります。バックエンドサービスが属するものと同じセキュリティグループタイプを選択することをお勧めします。選択に基づいて、クラウドネイティブゲートウェイはマネージドセキュリティグループを作成し、そのインスタンスノードを管理します。クラウドネイティブゲートウェイとバックエンドサービスがデプロイされているノードは異なるセキュリティグループにあるため、バックエンドサービスのセキュリティグループで、クラウドネイティブゲートウェイに必要なポート範囲へのアクセス権限を付与する必要があります。

    云原生网关场景架构图

    ステップ 1: 宛先サービスがデプロイされているノードのセキュリティグループを取得する

    クラウドネイティブゲートウェイに関連付けられているアップストリームサービスは、通常、コンテナーまたは ECS インスタンスにデプロイされます。次の方法でセキュリティグループ ID を取得できます。

    ACK マネージドクラスターにデプロイされたバックエンドサービス

    1. ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。

    2. クラスター ページで、管理するクラスターを見つけてその名前をクリックします。左側のナビゲーションウィンドウで、[ノード] > [ノードプール] を選択します。

    3. [ノードプール] ページで、宛先ノードをクリックし、[基本情報] タブを選択してセキュリティグループ ID を取得します。

      节点池查看安群组.png

    Serverless Kubernetes クラスターにデプロイされたバックエンドサービス

    1. ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。

    2. [クラスター] ページで、宛先クラスターの名前をクリックします。次に、[基本情報] タブをクリックしてセキュリティグループ ID を見つけます。

      image

    ECS インスタンスにデプロイされたバックエンドサービス

    1. ECS コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[インスタンスとイメージ] > [インスタンス] を選択します。

    3. [インスタンス] ページで、宛先サービスがデプロイされている ECS インスタンスをクリックし、[セキュリティグループ] タブをクリックしてセキュリティグループ ID を取得します。

      ecs安全组.png

    ステップ 2: セキュリティグループの権限付与ルールを追加する

    1. MSE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Cloud-Native Gateway > ゲートウェイリスト を選択します。上部のナビゲーションバーで、リージョンを選択します。

    3. ゲートウェイリスト ページで、対象のゲートウェイの名前をクリックします。左側のナビゲーションウィンドウで Overview をクリックし、Security Group Authorization タブを選択します。

    4. Add Security Group Rule をクリックします。[セキュリティグループ ID] テキストボックスに、ステップ 1 で取得したセキュリティグループ ID を貼り付け、セキュリティグループを選択します。

      1700621984007-7efaf484-22f9-42f9-969e-61f5f09ae016.png

    5. [ポート範囲] に、セキュリティグループの権限付与のためのポート範囲を「開始ポート/終了ポート」の形式で入力します。

      複数のポート範囲を入力できます。ポート範囲を入力した後、Enter キーを押して適用します。端口.png

    6. [保存] をクリックします。

      クラウドネイティブゲートウェイは対応するルールを生成します。保存后.png

      クラウドネイティブゲートウェイで作成されたセキュリティグループルールは、ターゲットノードが属するセキュリティグループにも表示されます。

    セキュリティグループの権限付与ルールを削除する

    1. MSE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Cloud-Native Gateway > ゲートウェイリスト を選択します。上部のナビゲーションバーで、リージョンを選択します。

    3. ゲートウェイリスト ページで、ゲートウェイの ID をクリックします。

    4. 左側のナビゲーションウィンドウで Overview をクリックします。Add Security Group Rule タブで、削除するルールを見つけ、Actions 列の Delete をクリックし、次に OK をクリックします。

    重要

    デフォルトでは、クラウドネイティブゲートウェイのセキュリティグループルールのみが削除されます。宛先ノードのセキュリティグループからもルールを削除するには、[このセキュリティグループの先行するインバウンドルールをカスケード削除] を選択します。

    よくある質問

    質問 1: セキュリティグループに権限を付与しましたが、サービスにアクセスできないのはなぜですか?

    次の手順を実行して、問題をトラブルシューティングできます。

    1. まず、サービスが正しいノードにデプロイされているかどうかを確認します。

      たとえば、サービスはノード A にデプロイされているのに、ノード B が属するセキュリティグループに権限を付与した場合などです。

    2. ターゲットノードに複数のセキュリティグループが設定されているかどうかを確認します。

      複数のセキュリティグループが設定されている場合は、各セキュリティグループに権限を付与することをお勧めします。

    質問 2: セキュリティグループに権限を付与しました。ゲートウェイからサービスにアクセスできましたが、現在はアクセスに失敗します。なぜですか?

    次の手順を実行して、問題をトラブルシューティングできます。

    1. まず、サービスが期待どおりに実行されていることを確認します。

      同じセキュリティグループ内の他のノードで curl コマンドを実行して、サービスの接続性を確認できます。

    2. 公開されたサービスによって公開されているポートが変更されたかどうかを確認します。

      たとえば、ポートが 8080 で、クラウドネイティブゲートウェイに対してポート 8080 のみの権限を付与したとします。後でポートが 8081 に変更された場合、セキュリティグループの権限付与ルールでポートを変更する必要があります。この問題を回避するには、セキュリティグループの権限付与を設定する際に、1/65535 などのより広いポート範囲を指定することをお勧めします。