このトピックでは、ネットワークアクセス制御リスト (ACL) を使用して、データセンターと仮想プライベートクラウド (VPC) 間の通信を管理する方法について説明します。
前提条件
VPCとvSwitchが作成されます。 詳細については、「VPCの作成と管理」および「vSwitchの作成と管理」をご参照ください。
ECS (Elastic Compute Service) インスタンスはvSwitchで作成されます。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
ECSインスタンスがセキュリティグループに追加され、ECSインスタンス上のHTTPサービスにインターネット経由でアクセスできるようになります。 詳細については、「webサイトがwebサービスを提供できるようにするためのセキュリティグループルール」をご参照ください。
背景情報
ある企業が、インターネット向けのServer Load Balancer (SLB) インスタンスとECSインスタンスを作成しました。 静的ページはECSインスタンスでホストされます。 SLBインスタンスにリスナーが設定され、ECSインスタンスがSLBインスタンスのバックエンドサーバーとして追加されます。 デフォルトでは、Data Center 1とData Center 2は、SLBインスタンスのパブリックIPアドレスを介して静的ページにアクセスできます。 ビジネス要件を満たすために、企業は、データセンター1が静的ページにアクセスすることを許可し、データセンター2から静的ページへのアクセスを拒否したいと考えています。
次の表に、データセンターとSLBインスタンスのパブリックIPアドレスを示します。
ネットワーク | パブリックIPアドレス |
データセンター1 | 111.XX.XX.111 |
データセンター2 | 222.XX.XX.222 |
SLBインスタンス | 33.XX.XX.33 |
ECSインスタンスが属するvSwitchにネットワークACLを関連付けることができます。 次に、ネットワークACLルールを設定して、vSwitchを介して送信される受信および送信ネットワークトラフィックを制御できます。
ステップ1: ネットワークACLの作成
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、管理するネットワークACLが属するリージョンを選択します。
[ネットワークACL] ページで、[ネットワークACLの作成] をクリックします。
[ネットワークACLの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
VPC: ネットワークACLを作成するVPCを選択します。
名前: ネットワークACLの名前を入力します。
説明: ネットワークACLの説明を入力します。
ステップ2: ネットワークACLをvSwitchに関連付ける
[ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。
バインド済みリソース タブで、vSwitch と関連付けるをクリックします。
vSwitch と関連付ける ダイアログボックスで、vSwitchを選択し、[OK] をクリックします。
ステップ3: ネットワークACLにルールを追加する
インバウンドルールとアウトバウンドルールをネットワークACLに追加します。
[ネットワークACL] ページで、管理するネットワークACLを見つけ、[操作] 列の インバウンドルールの設定 をクリックします。
[インバウンドルール] タブで、インバウンドルールの管理 をクリックします。
次のパラメーターを設定し、[OK] をクリックします。
優先度
ルール名
ポリシー
プロトコル
ソースIPアドレス
ソースポート範囲
1
Allow-HTTP-requests-from-Data-Center-1
許可
TCP
Data Center 1のパブリックIPアドレス。 この例では、111.XX. XX.111を使用します。
80/80
3
Drop-HTTP-requests-from-Data-Center-2
拒否
TCP
Data Center 2のパブリックIPアドレス。 この例では、222.XX. XX.222を使用します。
80/80
SLBインスタンスでヘルスチェック機能が有効になっている場合は、次のインバウンドルールを追加する必要があります。
優先度
ルール名
ポリシー
プロトコル
ソースIPアドレス
ソースポート範囲
2
許可-ヘルスチェック
許可
すべて
ヘルスチェックの実行に使用されるCIDRブロック。 値を100.64.0.0/10に設定します。
-1/-1
[アウトバウンドルール] タブをクリックし、アウトバウンドルールの管理 をクリックします。
次のパラメーターを設定し、[OK] をクリックします。
優先度
ルール名
ポリシー
プロトコル
宛先IPアドレス
宛先ポート範囲
1
Allow-HTTP-traffic-destined-for-Data-Center-1
許可
TCP
Data Center 1のパブリックIPアドレス。 この例では、111.XX. XX.111を使用します。
1/65535
3
Drop-HTTP-requests-dested-for Data-Center-2
拒否
TCP
Data Center 2のパブリックIPアドレス。 この例では、222.XX. XX.222を使用します。
1/65535
SLBインスタンスのヘルスチェック機能を有効にする場合は、次のアウトバウンドルールを追加する必要があります。
優先度
ルール名
ポリシー
プロトコル
宛先IPアドレス
宛先ポート範囲
2
許可-ヘルスチェック
許可
すべて
ヘルスチェックの実行に使用されるCIDRブロック。 値を100.64.0.0/10に設定します。
-1/-1
ステップ4: 接続をテストする
データセンターとSLBインスタンス間の接続をテストするには、次の手順を実行します。
Data Center 1のコンピューターでブラウザーを開きます。
接続をテストするには、ブラウザのアドレスバーに
http:// 33.XX. XX.33と入力します。結果は、Data Center 1のデバイスがECSインスタンスの静的ページにアクセスできることを示しています。
Data Center 2のデバイスでブラウザを開きます。
接続をテストするには、ブラウザのアドレスバーに
http:// 33.XX. XX.33と入力します。結果は、Data Center 2のデバイスがECSインスタンスの静的ページにアクセスできないことを示しています。
