ネットワークアクセス制御リスト(ACL)は、仮想プライベートクラウド(VPC)のネットワークアクセス制御機能です。ネットワーク ACL ルールを作成し、vSwitch にネットワーク ACL を関連付けることができます。これにより、vSwitch に接続されている Elastic Compute Service(ECS)インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理できます。
機能
ネットワーク ACL ルールは、関連付けられた vSwitch 内の ECS インスタンスのインバウンドトラフィックとアウトバウンドトラフィックにのみ適用されます。サーバーロードバランサー(SLB)インスタンスによって ECS インスタンスに転送されるトラフィックもフィルタリングされます。
説明ECS インスタンスが、EIP 可視モードの Elastic IP Address(EIP)にバインドされているセカンダリ Elastic Network Interface(ENI)に関連付けられている場合、ネットワーク ACL は ECS インスタンスのトラフィックをフィルタリングしません。詳細については、「EIP 可視モードを設定する」をご参照ください。
ネットワーク ACL ルールはステートレスです。インバウンドトラフィックの許可ルールを設定した後、対応するアウトバウンドルールを設定することが不可欠です。設定しないと、リクエストが応答しなくなる可能性があります。
ルールが設定されていない場合、ネットワーク ACL はすべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否します。
vSwitch 内の ECS インスタンス間のトラフィックは、その vSwitch にリンクされているネットワーク ACL ではフィルタリングされません。
ネットワーク ACL は、100.100.2.128/28 および 100.100.2.112/28 の DNS サーバーと、100.100.100.200/32 のメタサーバーを許可します。
説明
パラメーター
ネットワーク ACL ルールには、次のパラメーターが含まれています。
[優先度]: 値が小さいほど、優先度が高くなります。システムは、優先度の降順でルールとリクエストを照合し、最初に一致するルールを適用し、残りは無視します。
たとえば、次のルールがネットワーク ACL に追加され、IP アドレス 172.16.0.1 宛てのリクエストが ECS インスタンスから送信されるとします。この場合、リクエストはルール 2 とルール 3 に一致します。ルール 2 はルール 3 よりも優先度が高いため、システムはルール 2 を適用し、ルール 2 のポリシーに基づいてリクエストを拒否します。
優先度
プロトコル
宛先 IP アドレス
ポート範囲
ポリシー
タイプ
1
すべて
10.0.0.0/8
-1/-1
許可
カスタム
2
すべて
172.16.0.0/12
-1/-1
拒否
カスタム
3
すべて
172.16.0.0/12
-1/-1
許可
カスタム
[ポリシー]: 特定のトラフィックを許可または拒否します。
[プロトコル]: トラフィックのプロトコル。
[プロトコル] には、プロトコル名と プロトコル番号 が含まれます。プロトコル番号は、IP パケットヘッダーのプロトコルタイプを指定するために、IANA(Internet Assigned Numbers Authority)によって割り当てられます。
コンソールでプロトコル名または番号で検索できます。一般的なプロトコルタイプは次のとおりです。
[すべて]: すべてのプロトコル。
[ICMP(1)]: インターネット制御メッセージプロトコル。
[GRE(47)]: Generic Routing Encapsulation。
[TCP(6)]: 伝送制御プロトコル。
[UDP(17)]: ユーザーデータグラムプロトコル。
[ICMPv6(58)]: IPv6 のインターネット制御メッセージプロトコル。
[IP バージョン]: トラフィックタイプ。プロトコルタイプと互換性のある IP バージョンを選択します。有効値:IPv4 と IPv6。
[送信元 IP アドレス](インバウンドルールの場合): インバウンドトラフィックが送信される送信元 IP アドレス。
[宛先 IP アドレス](アウトバウンドルールの場合): アウトバウンドトラフィックが送信される宛先 IP アドレス。
[ポート範囲]: インバウンドルールまたはアウトバウンドルールが適用されるポートの範囲。
[TCP(6)] または [UDP(17)] を選択した場合、ポート範囲は 1 ~ 65535 です。最初のポート/最後のポート の形式でパラメーターを入力します。
たとえば、1/200 はポート 1 ~ 200 のトラフィックを制御し、80/80 はポート 80 のトラフィック(HTTP トラフィックに対応)を制御します。
値を [-1/-1] に設定しないでください。
一般的なポート範囲とそのアプリケーションの詳細については、「一般的なシナリオ」をご参照ください。
他のプロトコルタイプを選択した場合、ポート範囲は [-1/-1] に設定されます。これはすべてのポートを示し、変更できません。
アウトバウンドルールとインバウンドルール
アウトバウンドルールとインバウンドルールを作成する前に、次のルールに注意してください。
ネットワーク ACL でルールを追加または削除すると、変更は関連付けられた vSwitch に自動的に適用されます。
ネットワーク ACL に IPv6 アウトバウンドルールとインバウンドルールを追加する場合は、ネットワーク ACL が存在する VPC に IPv6 CIDR ブロックを割り当てる必要があります。
DHCP オプションセットを設定する場合は、ネットワーク ACL のアウトバウンドルールとインバウンドルールで DNS サーバーの IP アドレスを許可してください。ルールを追加しないと、DHCP オプションセットで運用上の問題が発生する可能性があります。
デフォルトのアウトバウンドルールとインバウンドルールは、VPC で IPv6 が有効になっているかどうかによって異なります。
VPC で IPv6 が有効になっていない場合、インバウンドとアウトバウンドの両方向にデフォルトで 5 つのルールが作成されます。その中で、クラウドサービスルートは、ネットワーク ACL によって許可される DNS サーバーとメタサーバーのアドレスです。
VPC で IPv6 が有効になっている場合、インバウンドとアウトバウンドの両方向に、システムデフォルトの拒否ルールとカスタムのすべて許可ルールが 1 つずつ追加され、合計 7 つのデフォルトルールになります。
制限
クォータ
名前/ID | 説明 | デフォルト値 | 調整可能 |
[vpc_quota_nacl_ingress_entry] | ネットワークアクセス制御リスト(ACL)に追加できるインバウンドルールの最大数 | 20 | 次の操作を実行することで、クォータを増やすことができます。
|
[vpc_quota_nacl_egress_entry] | ネットワーク ACL に追加できるアウトバウンドルールの最大数 | 20 | |
[nacl_quota_vpc_create_count] | 各 VPC で作成できるネットワーク ACL の最大数 | 20 |
サポートされているリージョン
関連情報
VPC でのアクセス制御の実装方法の詳細については、「ネットワーク ACL を作成および管理する」をご参照ください。
ネットワーク ACL を使用して、異なる vSwitch 内の ECS インスタンス間の通信を管理する、または データセンターと VPC 間の通信を管理する ことができます。