Network > Network ACL > 概要

NHN CloudはNetwork ACL機能を提供します。 これを利用すると protocol、ip、portごとにアクセス制御が可能になります。

ACL機能

ネットワークへ流入するパケットを制御するにはACL機能を利用します。 この機能はセキュリティグループと区別される機能で、違いは次のとおりです。

[参考]セキュリティグループとNetwork ACL機能比較

区分 セキュリティグループ Network ACL 備考
制御対象 インスタンス ネットワーク、インスタンス
設定対象 Protocol、IP、ポート設定 Protocol、IP、ポート設定 ACLはblack list、white listを選択して運用可能
制御トラフィック 流入/流出トラフィック
選択可能
src、dstアドレス選択可能
アクセス制御タイプ 許可ポリシーのみ設定 許可または遮断ポリシー選択可能

流入/流出トラフィックでNetwork ACL設定がセキュリティグループ設定より先に適用されます。 Network ACL設定で許可されていても、セキュリティグループで遮断される場合があるため、両方を確認する必要があります。

Network ACL機能を利用するには、次の事項を設定する必要があります。

ACL

  • 1つのプロジェクトに最大10個のACLを作成できます。
  • プロパティは名前、メモです。

ACL Rule

  • 1つのプロジェクトに最大100個のruleを作成できます。
  • order番号に応じてpriorityを持ち、順序どおりに適用されます。小さい番号が高いpriorityを持ちます。
  • '許可(Allow)':該当のruleにマッチするアクセスは許可します。
  • '遮断(Deny)':該当ruleにマッチするアクセスは遮断します。
  • 1つのアクセス制御対象はIPアドレスまたはCIDR形式のIPアドレス範囲を持つことができます。CIDR形式のIPアドレス範囲を入力すると該当ネットワーク内で入力した帯域がアクセス制御対象に含まれます。
  • プロトコルを指定する場合、1つのポートまたはポート範囲を持つことができます。
  • srcとdstに対してruleを常にペアで設定する必要があります。

ACL Binding

  • 1つのACLにbindingできるnetworkの最大数はVPCの数と同じです。
  • 1つのACLは複数のNetworkに適用できます。
  • 1つのNetworkには1つのACLを適用できます。

[参考]

NetworkとACL動作

  • Networkを削除するとACL bindingが削除されます。ACLは削除されません。
  • ACLにbindingされたnetworkがある場合、ACLを削除できません。
  • ACL ruleを追加または削除すると、bindingされたすべてのnetworkにその内容が反映されます。
TOP