仮想プライベートクラウド (VPC) にネットワークアクセス制御リスト (ACL) を作成し、ネットワークACLにインバウンドルールとアウトバウンドルールを追加できます。 ネットワークACLを作成した後、ネットワークACLをvSwitchに関連付けて、vSwitchのアクセス制御を有効にすることができます。
前提条件
VPCとvSwitchが作成されます。 詳細については、「VPCの作成と管理」をご参照ください。
IPv6ネットワークACLを作成する前に、VPCのIPv6 CIDRブロックを有効にする必要があります。 IPv6ネットワークACLは、フィリピン (マニラ) リージョンでのみサポートされています。 詳細については、「VPCのIPv6の有効化」をご参照ください。
ネットワークACLの作成
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、ネットワークACLを作成するリージョンを選択します。
ネットワークACLをサポートするリージョンの詳細については、「機能リリースとサポート対象リージョン」をご参照ください。
[ネットワークACL] ページで、[ネットワークACLの作成] をクリックします。
[ネットワークACLの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
リソースグループ
ネットワークACLが属するリソースグループを選択します。
タグキー
タグキーを選択または入力します。 最大20個のタグキーを指定できます。
タグキーの長さは最大128文字で、
http://
またはhttps://
は使用できません。acs:
またはaliyun
で始めることはできません。タグ値
タグ値を選択または入力します。 最大20個のタグ値を指定できます。
タグ値の長さは最大128文字で、
http://
またはhttps://
は使用できません。 また、先頭にacs:
やaliyun
はできません。VPC
ネットワークACLを作成するVPCを選択します。
説明VPCとネットワークACLは同じリージョンにデプロイする必要があります。
VPCに次のインスタンスファミリーのいずれかに属するECSインスタンスが含まれている場合、VPCのネットワークACLを作成することはできません。
ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4。
この場合、高度なVPC機能をサポートしていないECSインスタンスをアップグレードまたはリリースする必要があります。 高度なVPC機能の詳細については、「高度なVPC機能」をご参照ください。
ECSインスタンスをアップグレードする方法の詳細については、「サブスクリプションインスタンスのインスタンスタイプのアップグレード」または「従量課金インスタンスのインスタンスタイプの変更」をご参照ください。
ECSインスタンスをリリースする方法の詳細については、「インスタンスのリリース」をご参照ください。
説明VPCに指定されたECSインスタンスタイプのいずれかが含まれ、ネットワークACL機能が有効になっている場合、ネットワークACLが期待どおりに機能するようにECSインスタンスをアップグレードまたはリリースする必要があります。
名前
ネットワークACLの名前を入力します。
説明
ネットワークACLの説明を入力します。
ネットワークACLにルールを追加する
ネットワークACLを作成した後、インバウンドルールをネットワークACLに追加できます。 インバウンドルールを使用して、vSwitch内のECSインスタンスにインターネット経由でアクセスできるか、プライベートネットワーク経由でアクセスできるかを制御できます。 アウトバウンドルールをネットワークACLに追加することもできます。 アウトバウンドルールを使用して、vSwitch内のECSインスタンスがインターネットまたはプライベートネットワークにアクセスできるかどうかを制御できます。
ネットワークACLはステートレスです。 トラフィックを許可するインバウンドルールを設定する場合は、対応するアウトバウンドルールも設定する必要があります。 そうしないと、システムは要求に応答しない可能性があります。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。
[ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。
基本情報 ページで、インバウンドルールまたはアウトバウンドルールを作成できます。
インバウンドルールの作成
[インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。
以下のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
優先度
インバウンドルールの優先度を指定します。
数字が小さいほど、優先度が高くなります。 詳細については、「ルールの優先順位」をご参照ください。
ルール名
インバウンドルールの名前を入力します。
データ型
IPv6ネットワークACLを作成すると、次のタイプがサポートされます。
クラウドサービス: デフォルトでは、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。
カスタム: デフォルトでは、2つの許可ルールが作成されます。 ルールを変更または削除できます。
システム: デフォルトでは、優先度が最も低い2つの拒否ルールが作成されます。 ルールを変更または削除することはできません。
IPv4のみをサポートするネットワークACLを作成すると、デフォルトでIPv4タイプのカスタム許可ルールが作成されます。
説明IPv4またはIPv6タイプのカスタムインバウンドルールのみを作成できます。
Action
インバウンドルールのアクションを選択します。 有効な値:
許可: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを受け入れます。
拒否: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを削除します。
プロトコル
プロトコルを選択します。 有効な値:
すべて
ICMP
GRE
TCP
UDP
ICMPv6 IPv6のみ選択できます。
CIDRブロックタイプ
IPバージョンを選択します。 有効な値:
IPv4
IPv6
送信元IPアドレス
データが送信されるソースCIDRブロックを指定します。
デフォルト値: 0.0.0.0/0
宛先ポート範囲
インバウンドルールの宛先ポート範囲を入力します。
有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。
ALL、ICMP、またはGREを選択した場合、ポート範囲は -1/-1に設定されます。 TCPまたはUDPを選択した場合、ポート範囲は1 ~ 65535です。 有効な形式: 1/200および80/80 値を -1/-1に設定しないでください。
オプションです。 [インバウンドルール] タブで、[IPv4ルールの追加] または [IPv6ルールの追加] をクリックして、カスタムIPv4またはIPv6ルールを追加できます。
説明最大20個のIPv4ルールと20個のIPv6ルールを追加できます。 クォータを増やすには、クォータセンターに移動します。
アウトバウンドルールの作成
[アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。
以下のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
優先度
アウトバウンドルールの優先度を指定します。
数字が小さいほど、優先度が高くなります。 詳細については、「ルールの優先順位」をご参照ください。
ルール名
アウトバウンドルールの名前を入力します。
データ型
IPv6ネットワークACLを作成すると、次のタイプがサポートされます。
クラウドサービス: デフォルトでは、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。
カスタム: デフォルトでは、2つの許可ルールが作成されます。 ルールを変更または削除できます。
システム: デフォルトでは、優先度が最も低い2つの拒否ルールが作成されます。 ルールを変更または削除することはできません。
IPv4のみをサポートするネットワークACLを作成すると、デフォルトでIPv4タイプのカスタム許可ルールが作成されます。
説明IPv4またはIPv6タイプのカスタムアウトバウンドルールのみを作成できます。
Action
アウトバウンドルールのアクションを選択します。 有効な値:
許可: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスできるようにします。
拒否: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスすることを禁止します。
プロトコル
プロトコルを選択します。 有効な値:
すべて
ICMP
GRE
TCP
UDP
ICMPv6 IPv6のみ選択できます。
CIDRブロックタイプ
IPバージョンを選択します。 有効な値:
IPv4
IPv6
宛先IPアドレス
トラフィックの宛先CIDRブロックを指定します。
デフォルト値: 0.0.0.0/32
宛先ポート範囲
アウトバウンドルールの宛先ポート範囲を入力します。
有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。
オプションです。 [送信ルール] タブで、[IPv4ルールの追加] または [IPv6ルールの追加] をクリックして、カスタムIPv4またはIPv6ルールを追加できます。
説明最大20個のIPv4ルールと20個のIPv6ルールを追加できます。 クォータを増やすには、クォータセンターに移動します。
ネットワークACLルールの優先順位を変更する
ネットワークACLルールは、優先度の高い順に有効になります。 数字が小さいほど、優先度が高くなります。 ビジネス要件に基づいてネットワークACLルールに優先順位を付けることができます。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。
[ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。
基本情報 ページで、インバウンドルールとアウトバウンドルールの優先順位を変更できます。
インバウンドルールの優先度の変更
[インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。
インバウンドルールを上下にドラッグアンドドロップし、[OK] をクリックします。
アウトバウンドルールの優先度の変更
[アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。
インバウンドルールを上下にドラッグアンドドロップし、[OK] をクリックします。
ネットワークACLをvSwitchに関連付ける
ネットワークACLをvSwitchに関連付ける前に、次の要件が満たされていることを確認してください。
ネットワークACLが作成され、ネットワークACLルールが追加されます。
vSwitchとネットワークACLは同じVPCに属している必要があります。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。
[ネットワークACL] ページで、管理するネットワークACLを見つけ、[操作] 列の [関連付けvSwitch] をクリックします。
バインド済みリソース タブで、vSwitch の関連付け をクリックします。
vSwitch の関連付け ダイアログボックスで、関連付けるvSwitchを選択し、[OK] をクリックします。
ネットワークACLとvSwitchは同じVPCに属している必要があります。 vSwitchは、1つのネットワークACLにのみ関連付けることができます。
vSwitchからネットワークACLの関連付けを解除する
vSwitchからネットワークACLの関連付けを解除できます。 ネットワークACLがvSwitchとの関連付けを解除されると、ネットワークACLはvSwitchに接続されているECSインスタンスを流れるトラフィックを制御しなくなります。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。
[ネットワークACL] ページで、管理するネットワークACLを見つけ、[操作] 列の [関連付けvSwitch] をクリックします。
バインド済みリソース タブでvSwitchを見つけ、[操作] 列の [バインド解除] をクリックします。
ネットワーク ACL のバインド解除 メッセージで、[OK] をクリックします。
ネットワークACLの削除
ネットワークACLを削除する前に、vSwitchからネットワークACLの関連付けを解除する必要があります。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、管理するネットワークACKが属するリージョンを選択します。
[ネットワークACL] ページで、削除するネットワークACLを見つけ、[操作] 列の [削除] をクリックします。
ネットワーク ACL の削除 メッセージで、[OK] をクリックします。
参考資料
CreateNetworkAcl: ネットワークACLを作成します。
UpdateNetworkAclEntries: ネットワークACLルールを更新します。
AssociateNetworkAcl: ネットワークACLをvSwitchに関連付けます。
UnassociateNetworkAcl: vSwitchからネットワークACLの関連付けを解除します。
DeleteNetworkAcl: ネットワークACLを削除します。