ネットワークACLの概要 - - Alibaba Cloud ドキュメントセンター

ネットワークアクセス制御リスト (ACL) を使用すると、仮想プライベートクラウド (VPC) のアクセス制御を実装できます。ネットワークACLルールを作成し、ネットワークACLをvSwitchに関連付けることができます。これにより、vSwitchにアタッチされているElastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。

機能のリリースとサポート対象リージョン


地域	リージョン
アジア太平洋	中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (杭州) 、中国 (上海) 、中国 (南京-地方) 、中国 (福州-地方) 、中国 (深セン) 、中国 (河原) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、インド (ムンバイ)
ヨーロッパ&アメリカ	ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア)
中東	UAE (ドバイ)

機能

ネットワークACLは、ネットワークACLが関連付けられているvSwitchにアタッチされているECSインスタンスのインバウンドおよびアウトバウンドネットワークトラフィックをフィルタリングするために使用されます。 Server Load Balancer (SLB) インスタンスによってECSインスタンスに転送されたネットワークトラフィックもフィルタリングされます。
説明次のシナリオでは、ECSインスタンスのネットワークトラフィックはネットワークACLによってフィルタリングされません。ECSインスタンスはセカンダリelastic network interface (ENI) に関連付けられ、セカンダリENIはelastic IPアドレス (EIP) に関連付けられています。詳細については、「カットスルーモードでEIPをセカンダリENIに関連付ける」をご参照ください。
ネットワークACLはステートレスです。トラフィックを許可するインバウンドルールを設定する場合は、対応するアウトバウンドルールも設定する必要があります。そうしないと、システムは要求に応答しない可能性があります。
ルールを含まないネットワークACLを作成すると、すべてのインバウンドトラフィックとアウトバウンドトラフィックが拒否されます。
ネットワークACLがvSwitchに関連付けられている場合、ネットワークACLはvSwitchにアタッチされているECSインスタンス間で転送されるトラフィックをフィルタリングしません。

説明

ネットワークACLにルールを追加したり、ルールを削除したりできます。ルールへの変更は、関連付けられたvSwitchに自動的に同期されます。デフォルトでは、インバウンドルールとアウトバウンドルールは、新しく作成されたネットワークACLに自動的に追加されます。これらのルールにより、関連するvSwitchを介して送信されるすべてのインバウンドおよびアウトバウンドネットワークトラフィックが許可されます。デフォルトのルールを削除できます。次の表に、デフォルトのインバウンドルールとアウトバウンドルールを示します。

デフォルトの受信ルール
効果的な注文プロトコルソースIPアドレス宛先ポート範囲操作種類
1 すべて 0.0.0.0/0 -1/-1 Accept カスタム
デフォルトの送信ルール
効果的な注文プロトコル宛先IPアドレス宛先ポート範囲操作種類
1 すべて 0.0.0.0/0 -1/-1 Accept カスタム

効果的な注文	プロトコル	ソースIPアドレス	宛先ポート範囲	操作	種類
1	すべて	0.0.0.0/0	-1/-1	Accept	カスタム

効果的な注文	プロトコル	宛先IPアドレス	宛先ポート範囲	操作	種類
1	すべて	0.0.0.0/0	-1/-1	Accept	カスタム

ネットワークACLのルールには、次のパラメータが含まれます。

有効な順序: ルールの優先順位。値が小さいほど優先度が高くなります。システムは、優先度の高い順に要求をルールと照合します。ルール1は最も高い優先度を有する。リクエストがルールと一致する場合、システムはルールをリクエストに適用し、他のルールを無視します。

たとえば、次のルールがネットワークACLに追加され、IPアドレス172.16.0.1宛てのリクエストがECSインスタンスから送信されます。この場合、要求は規則2および3に一致する。ルール2は、ルール3よりも高い優先度を有する。したがって、システムはルール2を適用する。ルール2のアクションに基づいて、要求は拒否される。


効果的な注文	プロトコル	宛先IPアドレス	宛先ポート範囲	操作	種類
1	すべて	10.0.0.0/8	-1/-1	Accept	カスタム
2	すべて	172.16.0.0/12	-1/-1	不可	カスタム
3	すべて	172.16.0.0/12	-1/-1	Accept	カスタム

Action: 特定のトラフィックに対して実行されるアクション。有効な値: Accept and Drop.
Protocol: トラフィックのプロトコル。有効な値：
- ALL: すべてのプロトコル。 ALLを選択した場合、ポート範囲を指定できません。ポート範囲は -1/-1に設定され、すべてのポートを指定します。
- ICMP: インターネット制御メッセージプロトコル (ICMP) 。 ICMPを選択した場合、ポート範囲は指定できません。ポート範囲は -1/-1に設定され、すべてのポートを指定します。
- GRE: 汎用ルーティングカプセル化 (GRE) 。 GREを選択した場合、ポート範囲は指定できません。ポート範囲は -1/-1に設定され、すべてのポートを指定します。
- TCP: 伝送制御プロトコル (TCP) 。 TCPを選択した場合、ポート範囲は1/200または80/80形式で指定できます。 -1/-1は指定できません。ポートの有効値: 1〜65535。
- UDP: UDP (User Datagram Protocol) 。 UDPを選択した場合、ポート範囲は1/200または80/80形式で指定できます。 -1/-1は指定できません。ポートの有効値: 1〜65535。
送信元IPアドレス: インバウンドトラフィックが送信される送信元IPアドレス。このパラメーターは、インバウンドルールを設定した場合にのみ使用できます。
宛先IPアドレス: アウトバウンドトラフィックが送信される宛先IPアドレス。このパラメーターは、アウトバウンドルールを設定した場合にのみ使用できます。
宛先ポート範囲: インバウンドルールが適用される宛先ポートの範囲。
宛先ポート範囲: アウトバウンドルールが適用される宛先ポートの範囲。

ネットワークACLとセキュリティグループの比較

ネットワークACLは関連するvSwitchを介して送信されるデータを制御し、セキュリティグループは関連するECSインスタンスを介して送信されるデータを制御します。次の表に、ネットワークACLとセキュリティグループの違いを示します。


機能	ネットワークACL	セキュリティグループ
適用範囲	VSwitch	ECS インスタンス
返送されたトラフィックの状況	ステートレス: 返されるトラフィックは、インバウンドルールで許可する必要があります。	ステートフル: 返されるトラフィックは自動的に許可され、ルールの影響を受けません。
ルールが評価されるかどうか	システムは、優先度の降順でルールに対して要求を照合します。すべてのルールが一致するわけではありません。	システムは、ルールが適用される前に、要求をすべてのルールと照合します。
ECSインスタンスとの関連付け	ECSインスタンスが属するvSwitchは、1つのネットワークACLにのみ関連付けることができます。	各ECSインスタンスは、複数のセキュリティグループに追加できます。

次の図は、ネットワーク ACL とセキュリティ・グループを適用して、ネットワーク・セキュリティを確保する方法を示しています。

制限事項


項目	制限	調整の可否
各 VPC で作成可能なネットワーク ACL の数	200	不可
1 つの vSwitch に関連付け可能なネットワーク ACL の数	1	不可
1 つのネットワーク ACL に追加可能なルールの数	インバウンドルール：20 アウトバウンドルール：20	クォータを増やすには、[クォータ管理] ページに移動します。詳細については、「クォータの管理」をご参照ください。
ネットワーク ACL をサポートしない VPC	次のインスタンスファミリーの ECS インスタンスを含む VPC： ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4。詳細については、「VPC の高度な機能」をご参照ください。	高度なネットワーク機能をサポートしていない Elastic Compute Service (ECS) インスタンスをアップグレードまたはリリースします。詳細については、「サブスクリプションインスタンスのアップグレード設定」および「従量課金インスタンスの設定変更」をご参照ください。詳細については、「インスタンスのリリース」をご参照ください。説明 VPC に、左記の ECSインスタンスファミリーの 1 つが含まれ、ネットワーク ACL 機能が有効になっている場合は、ネットワーク ACL 機能が正常に機能するように ECS インスタンスをアップグレードまたはリリースする必要があります。

手順

詳細については、「ネットワークACLの操作」をご参照ください。