すべてのプロダクト
Search

このプロダクト

    :ネットワークACLの作成と管理

    ドキュメントセンター

    :ネットワークACLの作成と管理

    最終更新日:Apr 08, 2024

    仮想プライベートクラウド (VPC) にネットワークアクセス制御リスト (ACL) を作成し、ネットワークACLにインバウンドルールとアウトバウンドルールを追加できます。 ネットワークACLを作成した後、ネットワークACLをvSwitchに関連付けて、vSwitchのアクセス制御を有効にすることができます。

    前提条件

    • VPCとvSwitchが作成されます。 詳細については、「VPCの作成と管理」をご参照ください。

    • IPv6ネットワークACLを作成する前に、VPCのIPv6 CIDRブロックを有効にする必要があります。 IPv6ネットワークACLは、フィリピン (マニラ) リージョンでのみサポートされています。 詳細については、「VPCのIPv6の有効化」をご参照ください。

    ネットワークACLの作成

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ACL] > [ネットワークACL] を選択します。

    3. 上部のナビゲーションバーで、ネットワークACLを作成するリージョンを選択します。

      ネットワークACLをサポートするリージョンの詳細については、「機能リリースとサポート対象リージョン」をご参照ください。

    4. [ネットワークACL] ページで、[ネットワークACLの作成] をクリックします。

    5. [ネットワークACLの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      リソースグループ

      ネットワークACLが属するリソースグループを選択します。

      タグキー

      タグキーを選択または入力します。 最大20個のタグキーを指定できます。

      タグキーの長さは最大128文字で、http:// またはhttps:// は使用できません。 acs: またはaliyunで始めることはできません。

      タグ値

      タグ値を選択または入力します。 最大20個のタグ値を指定できます。

      タグ値の長さは最大128文字で、http:// またはhttps:// は使用できません。 また、先頭に acs:aliyun はできません。

      VPC

      ネットワークACLを作成するVPCを選択します。

      説明

      VPCとネットワークACLは同じリージョンにデプロイする必要があります。

      VPCに次のインスタンスファミリーのいずれかに属するECSインスタンスが含まれている場合、VPCのネットワークACLを作成することはできません。

      ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4。

      この場合、高度なVPC機能をサポートしていないECSインスタンスをアップグレードまたはリリースする必要があります。 高度なVPC機能の詳細については、「高度なVPC機能」をご参照ください。

      説明

      VPCに指定されたECSインスタンスタイプのいずれかが含まれ、ネットワークACL機能が有効になっている場合、ネットワークACLが期待どおりに機能するようにECSインスタンスをアップグレードまたはリリースする必要があります。

      名前

      ネットワークACLの名前を入力します。

      説明

      ネットワークACLの説明を入力します。

    ネットワークACLにルールを追加する

    ネットワークACLを作成した後、インバウンドルールをネットワークACLに追加できます。 インバウンドルールを使用して、vSwitch内のECSインスタンスにインターネット経由でアクセスできるか、プライベートネットワーク経由でアクセスできるかを制御できます。 アウトバウンドルールをネットワークACLに追加することもできます。 アウトバウンドルールを使用して、vSwitch内のECSインスタンスがインターネットまたはプライベートネットワークにアクセスできるかどうかを制御できます。

    重要

    ネットワークACLはステートレスです。 トラフィックを許可するインバウンドルールを設定する場合は、対応するアウトバウンドルールも設定する必要があります。 そうしないと、システムは要求に応答しない可能性があります。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ACL] > [ネットワークACL] を選択します。

    3. 上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。

    4. [ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。

    5. 基本情報 ページで、インバウンドルールまたはアウトバウンドルールを作成できます。

      • インバウンドルールの作成

        1. [インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。

        2. 以下のパラメーターを設定し、[OK] をクリックします。

          パラメーター

          説明

          優先度

          インバウンドルールの優先度を指定します。

          数字が小さいほど、優先度が高くなります。 詳細については、「ルールの優先順位」をご参照ください。

          ルール名

          インバウンドルールの名前を入力します。

          データ型

          IPv6ネットワークACLを作成すると、次のタイプがサポートされます。

          • クラウドサービス: デフォルトでは、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。

          • カスタム: デフォルトでは、2つの許可ルールが作成されます。 ルールを変更または削除できます。

          • システム: デフォルトでは、優先度が最も低い2つの拒否ルールが作成されます。 ルールを変更または削除することはできません。

          IPv4のみをサポートするネットワークACLを作成すると、デフォルトでIPv4タイプのカスタム許可ルールが作成されます。

          説明

          IPv4またはIPv6タイプのカスタムインバウンドルールのみを作成できます。

          Action

          インバウンドルールのアクションを選択します。 有効な値:

          • 許可: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを受け入れます。

          • 拒否: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを削除します。

          プロトコル

          プロトコルを選択します。 有効な値:

          • すべて

          • ICMP

          • GRE

          • TCP

          • UDP

          • ICMPv6 IPv6のみ選択できます。

          CIDRブロックタイプ

          IPバージョンを選択します。 有効な値:

          • IPv4

          • IPv6

          送信元IPアドレス

          データが送信されるソースCIDRブロックを指定します。

          デフォルト値: 0.0.0.0/0

          宛先ポート範囲

          インバウンドルールの宛先ポート範囲を入力します。

          有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。

          ALLICMP、またはGREを選択した場合、ポート範囲は -1/-1に設定されます。 TCPまたはUDPを選択した場合、ポート範囲は1 ~ 65535です。 有効な形式: 1/200および80/80 値を -1/-1に設定しないでください。

        3. オプションです。 [インバウンドルール] タブで、[IPv4ルールの追加] または [IPv6ルールの追加] をクリックして、カスタムIPv4またはIPv6ルールを追加できます。

          説明

          最大20個のIPv4ルールと20個のIPv6ルールを追加できます。 クォータを増やすには、クォータセンターに移動します。

      • アウトバウンドルールの作成

        1. [アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。

        2. 以下のパラメーターを設定し、[OK] をクリックします。

          パラメーター

          説明

          優先度

          アウトバウンドルールの優先度を指定します。

          数字が小さいほど、優先度が高くなります。 詳細については、「ルールの優先順位」をご参照ください。

          ルール名

          アウトバウンドルールの名前を入力します。

          データ型

          IPv6ネットワークACLを作成すると、次のタイプがサポートされます。

          • クラウドサービス: デフォルトでは、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。

          • カスタム: デフォルトでは、2つの許可ルールが作成されます。 ルールを変更または削除できます。

          • システム: デフォルトでは、優先度が最も低い2つの拒否ルールが作成されます。 ルールを変更または削除することはできません。

          IPv4のみをサポートするネットワークACLを作成すると、デフォルトでIPv4タイプのカスタム許可ルールが作成されます。

          説明

          IPv4またはIPv6タイプのカスタムアウトバウンドルールのみを作成できます。

          Action

          アウトバウンドルールのアクションを選択します。 有効な値:

          • 許可: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスできるようにします。

          • 拒否: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスすることを禁止します。

          プロトコル

          プロトコルを選択します。 有効な値:

          • すべて

          • ICMP

          • GRE

          • TCP

          • UDP

          • ICMPv6 IPv6のみ選択できます。

          CIDRブロックタイプ

          IPバージョンを選択します。 有効な値:

          • IPv4

          • IPv6

          宛先IPアドレス

          トラフィックの宛先CIDRブロックを指定します。

          デフォルト値: 0.0.0.0/32

          宛先ポート範囲

          アウトバウンドルールの宛先ポート範囲を入力します。

          有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。

        3. オプションです。 [送信ルール] タブで、[IPv4ルールの追加] または [IPv6ルールの追加] をクリックして、カスタムIPv4またはIPv6ルールを追加できます。

          説明

          最大20個のIPv4ルールと20個のIPv6ルールを追加できます。 クォータを増やすには、クォータセンターに移動します。

    ネットワークACLルールの優先順位を変更する

    ネットワークACLルールは、優先度の高い順に有効になります。 数字が小さいほど、優先度が高くなります。 ビジネス要件に基づいてネットワークACLルールに優先順位を付けることができます。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ACL] > [ネットワークACL] を選択します。

    3. 上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。

    4. [ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。

    5. 基本情報 ページで、インバウンドルールとアウトバウンドルールの優先順位を変更できます。

      • インバウンドルールの優先度の変更

        1. [インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。

        2. インバウンドルールを上下にドラッグアンドドロップし、[OK] をクリックします。

      • アウトバウンドルールの優先度の変更

        1. [アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。

        2. インバウンドルールを上下にドラッグアンドドロップし、[OK] をクリックします。

    ネットワークACLをvSwitchに関連付ける

    ネットワークACLをvSwitchに関連付ける前に、次の要件が満たされていることを確認してください。

    • ネットワークACLが作成され、ネットワークACLルールが追加されます。

    • vSwitchとネットワークACLは同じVPCに属している必要があります。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ACL] > [ネットワークACL] を選択します。

    3. 上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。

    4. [ネットワークACL] ページで、管理するネットワークACLを見つけ、[操作] 列の [関連付けvSwitch] をクリックします。

    5. バインド済みリソース タブで、vSwitch の関連付け をクリックします。

    6. vSwitch の関連付け ダイアログボックスで、関連付けるvSwitchを選択し、[OK] をクリックします。

      ネットワークACLとvSwitchは同じVPCに属している必要があります。 vSwitchは、1つのネットワークACLにのみ関連付けることができます。

    vSwitchからネットワークACLの関連付けを解除する

    vSwitchからネットワークACLの関連付けを解除できます。 ネットワークACLがvSwitchとの関連付けを解除されると、ネットワークACLはvSwitchに接続されているECSインスタンスを流れるトラフィックを制御しなくなります。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ACL] > [ネットワークACL] を選択します。

    3. 上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。

    4. [ネットワークACL] ページで、管理するネットワークACLを見つけ、[操作] 列の [関連付けvSwitch] をクリックします。

    5. バインド済みリソース タブでvSwitchを見つけ、[操作] 列の [バインド解除] をクリックします。

    6. ネットワーク ACL のバインド解除 メッセージで、[OK] をクリックします。

    ネットワークACLの削除

    ネットワークACLを削除する前に、vSwitchからネットワークACLの関連付けを解除する必要があります。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ACL] > [ネットワークACL] を選択します。

    3. 上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。

    4. [ネットワークACL] ページで、削除するネットワークACLを見つけ、[操作] 列の [削除] をクリックします。

    5. ネットワーク ACL の削除 メッセージで、[OK] をクリックします。

    参考資料