Alibaba Cloud は、仮想プライベートクラウド (VPC) 内のインスタンスまたは vSwitch レベルでのネットワーク分離のための 2 つの主要なアクセス制御メカニズム、セキュリティグループとネットワーク ACL を提供しています。
セキュリティグループ: セキュリティグループは、VPC 内の Elastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。セキュリティドメインを作成し、クラウドリソースを保護するために、同じセキュリティニーズを持つ ECS インスタンスをセキュリティグループにデプロイします。
ネットワーク ACL: ネットワーク ACL は、vSwitch のインバウンドトラフィックとアウトバウンドトラフィックを制御します。複数の vSwitch にネットワーク ACL をアタッチして、トラフィックを一元的に制御します。
項目 | セキュリティグループ | ネットワーク ACL |
図 | ||
適用範囲 | インスタンスレベル 1 つ以上の ECS インスタンスにセキュリティグループをアタッチします。 | vSwitch レベル 1 つ以上の vSwitch にネットワーク ACL をアタッチします。 |
動作モード | ステートフル。返されたパケットは自動的に許可されます。 たとえば、ポート 80 でのインバウンドトラフィックを許可するには、 | ステートレス。返されたパケットは手動で許可する必要があります。 たとえば、ポート 80 でのインバウンドトラフィックを許可するには、 |
グループ内制御ポリシー | 基本セキュリティグループ: インスタンス間のトラフィックを許可または拒否することを選択します。 エンタープライズセキュリティグループ: 内部隔離はデフォルトで有効になっています。 | 同じ vSwitch 内にある ECS インスタンス間のトラフィックは制御しません。 |
アプリケーションシナリオ | インスタンス間のアクセスを制御し、ポートでパブリックインバウンドトラフィックを許可します。 | vSwitch レベルで分離し、vSwitch 間でアクセス ポリシーを適用します。 |