ACL機能の詳細はNetwork ACL文書を参照してください。
ACLを作成するにはACL作成ボタンをクリックし、次の値を入力します。
確認をクリックするとACLが作成されます。
ACLのプロパティのうち、名前と説明を変更できます。
選択したACLを削除できます。 ACLにバインドされたネットワークがない時のみ削除できます。
ACLを選択すると、下部にACL Ruleメニューが表示されます。 ACL Ruleを追加すると、このACLを使用するすべてのネットワークに追加されたルール(rule)が反映されます。
確認をクリックするとACL Ruleが作成されます。
[参考] srcとdstのペアで設定する
例えば192.168.0.10アドレスからのみ192.168.0.13アドレスのtcp 22番に接続を許可させるには、次のようにルール(rule)を追加します。 "protocol"="tcp", "src cidr"="192.168.0.10/32", "dst cidr"="192.168.0.13/32", "dst_port_range_min"=22, "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.13/32", "src_port_range_min"=22, "dst cidr"="192.168.0.10/32", "policy"="allow" 該当アドレスにパケットが入った後、出る必要がありますが、最初のルールしかない場合、該当インスタンスの立場ではdstは入ることだけ許可するのであって、2つ目のルールがある時のみsrcから出ることが許可されるためです。
[参考] srcとdstアドレス
例えば、NHN Cloudインスタンスから固定IP 192.168.0.10にFloating IP 133.186.237.10を接続すると、同じVPCからのアクセスが目的の場合 ACL Ruleは固定IP 192.168.0.10をアドレスに設定するのが便利です。 192.168.0.10(fip:133.186.237.10)と 192.168.0.20(fip:133.186.237.20)、2つのインスタンスの間に10番から20番に80番ポート接続を許可するルール(rule)を設定すると仮定すると
固定IPに設定する場合、次のように設定して192.168.0.10からcurl http://192.168.0.20のように固定IPでアクセスしてください。 "protocol"="tcp", "src cidr"="192.168.0.10/32", "dst cidr"="192.168.0.20/32", "dst_port_range_min"=80, "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.20/32", "src_port_range_min"=80, "dst cidr"="192.168.0.10/32", "policy"="allow"
Floating IPに設定する場合、次のように設定し、133.186.237.10からcurl http://133.186.237.20のようにFloating IPでアクセスしてください。 "protocol"="tcp", "src cidr"="133.186.237.10/32", "dst cidr"="192.168.0.20/32", "dst_port_range_min"=80, "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.20/32", "src_port_range_min"=80, "dst cidr"="133.186.0.10/32", "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.10/32", "dst cidr"="133.186.237.20/32", "dst_port_range_min"=80, "policy"="allow" "protocol"="tcp", "src cidr"="133.186.237.20/32", "src_port_range_min"=80, "dst cidr"="192.168.0.10/32", "policy"="allow"
他のVPCからのアクセスの場合
133.186.237.30(VPC1)から192.168.0.40(fip:133.186.237.40, VPC2)に80番の接続を許可するには VPC2とバインドされたACL Ruleに次のように設定してください。 (VPC1はACL Rule設定なし) "protocol"="tcp", "src cidr"="133.186.237.30/32", "dst cidr"="192.168.0.40/32", "dst_port_range_min"=80, "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.40/32", "src_port_range_min"=80, "dst cidr"="133.186.237.30/32", "policy"="allow"
[参考] ACL Rule order
ACL作成時、基本的にorder number 101番に全て許可するルールが適用され、order number 32765に全て拒否するルールが適用されます。 したがって、デフォルト値(default)状態はすべてが許可されている状態になります。ユーザーが101番を消して任意でルールを追加できます。基本使用方式はホワイトリストを管理する方式です。 各ACLの最後のルールはorder numberが32765で、ポリシーは全て拒否です。削除はできません。 order number 101番から32765番の間の値を使用して自由にルールを追加できます。 1~100番は内部システム用に予約されています。 orderを修正することはできず、削除した後に再度作成する必要があるため、ルールを設定する時は10~100程度のorder numberの間隔を置いて設定することを推奨します。 ブラックリストを管理する方式に変更するには、order number 32764にすべてを許可するルールを追加し、その前のorder numberにブラックリストルールを管理してください。
[参考] ACLとACL Ruleの数
プロジェクトごとにACLを最大10個まで作成できます。 プロジェクトごとにACL Ruleを最大100個まで作成できます。
ルールのプロパティのうち、説明のみ変更できます。
ACLを選択すると、下部にACL Ruleメニューが表示されます。 ACL Ruleを削除すると、そのACLを使用するすべてのネットワークから該当ルールが削除されます。
ACLを適用するネットワークを選択し、確認をクリックします。 1つのACLは複数のネットワークにバインドできます。 1つのネットワークには1つのACLのみバインドできます。
ACL適用を解除するネットワークを選択し、確認をクリックします。