仮想プライベートクラウド (VPC) は、ネットワークアクセス制御リスト (ACL) だけでなく、クラウドリソースのアクセス制御機能を活用してアクセス制御を実装できます。 たとえば、Elastic Compute Service (ECS) はセキュリティグループを使用しますが、Server Load Balancer (SLB) とApsaraDB RDSはアクセス制御にホワイトリストを使用します。 このトピックでは、アクセス制御を実現するさまざまな方法について説明します。
VPC内のアクセス制御は、次の方法で実装できます。
ネットワークACL: ネットワークACLは、ネットワークアクセス制御を提供するVPC内の機能です。 ネットワークACLルールを作成してvSwitchに関連付けることで、vSwitchに接続されているECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理できます。
セキュリティグループ: セキュリティグループは、ステータス検出機能とパケットフィルタリング機能を備えた仮想ファイアウォールとして機能し、クラウド内のセキュリティドメインをセグメント化できます。 セキュリティグループルールを設定して、グループ内の1つ以上のECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理できます。
RDSホワイトリスト: VPC内のApsaraDB RDSインスタンスにアクセスするには、クラウドサーバーのIPアドレスをRDSインスタンスのホワイトリストに追加する必要があります。 これにより、クラウドサーバーにRDSインスタンスへのアクセスが許可され、他のIPアドレスからのアクセスがブロックされます。
SLBホワイトリスト: SLBは、転送ルールに従って、複数のバックエンドクラウドサーバーにインバウンドトラフィックを分散します。 特定のIPアドレスのみがアプリケーションにリクエストを転送できるようにSLBリスナーを設定できます。 これは、指定されたIPアドレスからのリクエストのみを許可してアクセスを制限するシナリオで適用できます。
ネットワークACLは関連するvSwitchを介したデータフローを管理し、セキュリティグループは接続されたECSインスタンスを介したデータフローを制御します。 次の表は、ネットワークACLとセキュリティグループを比較しています。
項目 | ネットワークACL | セキュリティグループ |
適用範囲 | vSwitch | ECS インスタンス |
返されたトラフィックのステータス | ステートレス: 返されるデータはルールによって許可される必要があります。 | ステートフル: 返されるデータは自動的に許可され、ルールの影響を受けません。 |
ルールが評価されるかどうか | すべてのルールが評価されるわけではありません。 ルールは有効になる順序で処理されます。 | すべてのルールは実行前に評価されます。 |
ECSインスタンスとの関連付け | vSwitchは1つのネットワークACLにのみ関連付けることができます。 | ECSインスタンスは、複数のセキュリティグループに関連付けることができます。 |
次の図は、ネットワークACLとセキュリティグループを適用してネットワークセキュリティを確保する方法を示しています。