すべてのプロダクト
Search

このプロダクト

    Global Accelerator:GAリスナーのアクセス制御を有効にする

    ドキュメントセンター

    Global Accelerator:GAリスナーのアクセス制御を有効にする

    最終更新日:Jul 17, 2024

    クライアントからのリクエストを正確に制御するために、Global Accelerator (GA) リスナーのアクセス制御を有効にできます。 ホワイトリストまたはブラックリストを設定して、特定のIPアドレスによるGAリスナーへのアクセスを許可または禁止できます。

    概要

    アクセス制御ポリシーは、アクセス制御リスト (ACL) とアクセス制御モードを指定することで構成されます。

    • ACL: 複数のIPアドレスまたはCIDRブロックをACLに追加して、それらからのアクセスを許可または拒否できます。

    • アクセス制御モード: ACLを、異なるリスナーのホワイトリストまたはブラックリストとして指定できます。

      • ホワイトリスト: 特定のIPアドレスがGAリスナーにアクセスできるようにします。 ホワイトリスト内のIPアドレスまたはCIDRブロックからのリクエストのみが転送されます。 ホワイトリストは、特定のIPアドレスのみにGAリスナーへのアクセスを許可するシナリオに適用されます。

      • ブラックリスト: 特定のIPアドレスがGAリスナーにアクセスできないようにします。 ブラックリストのIPアドレスまたはCIDRブロックからのリクエストはブロックされます。 ブラックリストは、特定のIPアドレスがGAリスナーにアクセスするのを制限するシナリオに適用されます。

    警告

    • ホワイトリストが不適切に設定されている場合、リスクが発生する可能性があります。 リスナーにホワイトリストを設定すると、ホワイトリスト内のIPアドレスからのリクエストのみがリスナーによって転送されます。 アクセス制御が有効になっていて、リスナーにホワイトリストが設定されているが、ホワイトリストにIPアドレスが追加されていない場合、GAリスナーはすべてのリクエストを転送します。

    • ブラックリストが有効になっているが、ブラックリストにIPアドレスが追加されていない場合、リスナーはすべてのリクエストを転送します。

    ACLはIPv4とIPv6をサポートします。 リスナーのアクセス制御を設定するときに、アクセスポイントの高速IPアドレスと同じIPバージョンを使用するACLを選択できます。

    image

    制限事項

    従量課金の標準GAインスタンス

    • アクセス制御機能は、インテリジェントルーティングリスナーに対してのみ有効にできます。

    • Global Acceleratorインスタンスのリスナーに関連付けられているACLのIPアドレスとCIDRブロックの総数は600を超えることはできません。

      リスナーに関連付けられているACLのIPアドレスとCIDRブロックの最大数は、次の式に基づいて計算されます。

      • リスニングポートの総数 × ACLの数

      • HTTP/3リスナーを使用する場合、IPアドレスとCIDRブロックの最大数は、次の式に基づいて計算されます。リスニングポートの総数 × ACLの数 × 2

    • ACLは最大10個のリスナーに関連付けることができます。

    • リスナーは、1つのIPv4 ACLと1つのIPv6 ACLにのみ関連付けることができます。

      • GAインスタンスがIPv4またはIPv6高速化IPアドレスを使用し、リスナーがIPv4 ACLおよびIPv6 ACLに関連付けられている場合、高速化IPアドレスと同じIPバージョンを使用するACLのみが有効になります。

      • GAインスタンスがデュアルスタックアクセラレーションIPアドレスを使用し、リスナーがIPv4 ACLとIPv6 ACLに関連付けられている場合、両方のACLが有効になります。

    サブスクリプション標準GAインスタンス

    • アクセス制御機能は、インテリジェントルーティングリスナーに対してのみ有効にできます。

    • リスナーに関連付けられているACL内のIPアドレスとCIDRブロックの総数は200を超えることはできません。 IPアドレスとCIDRブロックは一意である必要があります。

    • ACLは最大10個のリスナーに関連付けることができます。

    • リスナーは、1つのIPv4 ACLと1つのIPv6 ACLにのみ関連付けることができます。

      • GAインスタンスがIPv4またはIPv6高速化IPアドレスを使用し、リスナーがIPv4 ACLおよびIPv6 ACLに関連付けられている場合、高速化IPアドレスと同じIPバージョンを使用するACLのみが有効になります。

      • GAインスタンスがデュアルスタックアクセラレーションIPアドレスを使用し、リスナーがIPv4 ACLとIPv6 ACLに関連付けられている場合、両方のACLが有効になります。

    手順

    image

    ACLの作成

    リスナーのアクセス制御を有効にする前に、ACLを作成する必要があります。

    1. GAコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、標準インスタンス > アクセス制御を選択します。

    3. アクセス制御ページでACL の作成をクリックします。

    4. ACL の作成 ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      手順

      ACL 名

      ACLの名前を入力します。

      IP バージョン

      ACLのIPバージョンを選択します。

      • IPv4を選択した場合、ACLは、高速化IPv4アドレスを使用する高速化リージョンでのみ有効になります。

      • IPv6を選択した場合、ACLは、高速化IPv6アドレスを使用する高速化リージョンでのみ有効になります。

      リソースグループ

      ACLが属するリソースグループを選択します。

      リソースグループは、resource Managementの現在のAlibaba Cloudアカウントによって作成されたリソースグループです。 詳細については、「リソースグループの作成」をご参照ください。

      タグ

      ACLにタグを追加します。

      タグキータグ値を設定します。

      ACLタグの管理方法の詳細については、「タグの管理」をご参照ください。

    ACLにIPアドレスまたはCIDRブロックを追加する

    ACLの作成後、複数のIPアドレスまたはCIDRブロックをACLに追加できます。 これにより、リスナーが指定されたIPアドレスまたはCIDRブロックからのアクセスを許可またはブロックできるようになります。

    1. GAコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、標準インスタンス > アクセス制御を選択します。

    3. 管理するACLを見つけて、をクリックします。操作で、ACL の管理列を作成します。

    4. [ACLの詳細] ページで、次の方法を使用してIPアドレスまたはCIDRブロックをACLに追加できます。

      • ACLに1つのIPアドレスまたはCIDRブロックを追加する

        ルールの追加 をクリックします。 ACL エントリの追加 ダイアログボックスで、IP アドレス/CIDR ブロック および 備考 パラメーターを設定し、[OK] をクリックします。

      • 一度に複数のIPアドレスまたはCIDRブロックを追加する

        複数ルールの追加 をクリックします。 複数ルールの追加 ダイアログボックスで、プロンプトに従って複数のIPアドレスまたはCIDRブロックを入力し、[OK] をクリックします。

    リスナーのアクセス制御を有効にします。

    アクセス制御を有効にする前に、リスナーが作成されていることを確認してください。 詳細については、「インテリジェントルーティングリスナーの追加と管理」をご参照ください。

    1. GAコンソールにログインします。

    2. インスタンスページで、管理するGAインスタンスを見つけて、リスナーの設定で、操作列を作成します。

    3. リスナータブで、アクセス制御を有効にするリスナーのIDをクリックします。

    4. では、リスナーの詳細のセクションアクセス制御タブ、オンにするアクセス制御.

    5. では、アクセス制御の有効化ダイアログボックスでパラメーターを設定し、OK. 下表に、各パラメーターを説明します。

      パラメーター

      手順

      アクセス制御モード

      アクセス制御モードを選択します。 有効な値:

      • ホワイトリスト: ACLをリスナーに関連付けると、リスナーはACLに追加されたIPアドレスまたはCIDRブロックからのリクエストのみを転送します。

      • black: ブラックリストのIPアドレスまたはCIDRブロックからのリクエストは転送されません。

      警告

      • ホワイトリストが不適切に設定されている場合、リスクが発生する可能性があります。 リスナーにホワイトリストを設定すると、ホワイトリスト内のIPアドレスからのリクエストのみがリスナーによって転送されます。 アクセス制御が有効になっていて、リスナーにホワイトリストが設定されているが、ホワイトリストにIPアドレスが追加されていない場合、GAリスナーはすべてのリクエストを転送します。

      • ブラックリストが有効になっているが、ブラックリストにIPアドレスが追加されていない場合、リスナーはすべてのリクエストを転送します。

      ACL の選択

      ACLを選択します。

      [+ ACLの追加] をクリックして、一度に2つのACLを追加することもできます。

    リスナーからのACLの関連付けの解除

    リスナーから不要になったACLの関連付けを解除できます。

    リスナーからすべてのACLの関連付けを解除すると、リスナーのアクセス制御機能が無効になります。

    1. GAコンソールにログインします。

    2. インスタンスページで、管理するGAインスタンスを見つけて、リスナーの設定で、操作列を作成します。

    3. [リスナー] タブで、ACLの関連付けを解除するリスナーのIDをクリックします。

    4. では、アクセス制御のセクションリスナー詳細タブをクリックし、编辑隣のアイコンアクセス制御リスト.

    5. では、ACLの変更ダイアログボックスで、関連付けを解除するACLを見つけ、関連付け解除で、アクション列をクリックし、OK.

    リスナーのアクセス制御を無効にする

    リスナーがアクセス制御を必要としなくなった場合は、リスナーのアクセス制御を無効にできます。

    1. GAコンソールにログインします。

    2. インスタンスページで、管理するGAインスタンスを見つけて、リスナーの設定で、操作列を作成します。

    3. リスナータブで、アクセス制御を無効にするリスナーのIDをクリックします。

    4. では、アクセス制御のセクションリスナー詳細タブ、アクセス制御をオフにする

    5. 表示されるメッセージで、OKをクリックします

    ACLからのIPアドレスまたはCIDRブロックの削除

    ACLからIPアドレスまたはCIDRブロックを削除できます。

    1. GAコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、標準インスタンス > アクセス制御.

    3. 管理するACLを見つけて、をクリックします。操作で、ACL の管理列を作成します。

    4. ACLから削除するIPアドレスまたはCIDRブロックを見つけて、操作で、削除列を選択するか、複数のIPアドレスを選択して削除IPエントリリストの下にあります。

    5. 表示されるメッセージで、OKをクリックします

    ACLの削除

    不要になったACLを削除できます。

    ACLを削除する前に、リスナーからACLの関連付けを解除してください。 詳細については、「リスナーからのACLの関連付けの解除」をご参照ください。

    1. GAコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、標準インスタンス > アクセス制御.

    3. 削除するACLを見つけて、をクリックします。操作で、削除列を作成します。

    4. [Release Cluster] メッセージで、OKをクリックします

    関連ドキュメント