ネットワークACLの機能、ルール、制限、およびワークフロー - Virtual Private Cloud

ネットワークアクセス制御リスト (ACL) は、仮想プライベートクラウド (VPC) のネットワークアクセス制御機能です。ネットワークACLルールを作成し、ネットワークACLをvSwitchに関連付けることができます。これにより、vSwitchにアタッチされているElastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理できます。

機能とサポート対象リージョン

ネットワークACLをサポートするリージョン

地域	リージョン
アジア太平洋	中国 (杭州) 、中国 (上海) 、中国 (南京-地方地域) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 中国 (香港) 、中国 (武漢-地方) 、中国 (福州-地方) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー) サービス終了、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク)
ヨーロッパおよびアメリカ	ドイツ (フランクフルト) 、イギリス (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア)
中東	UAE (ドバイ) およびSAU (リヤド) 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。

IPv6ネットワークACLをサポートするリージョン

地域	リージョン
アジア太平洋	中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、日本 (東京) 、韓国 (ソウル) 、マレーシア (クアラルンプール) 、インドネスディア (ジャカルタ) 、フィリフィネス (マニラ) 、タイ (バンコク)
ヨーロッパおよびアメリカ	ドイツ (フランクフルト) 、米国 (シリコンバレー) 、米国 (バージニア)
中東	UAE (ドバイ) およびSAU (リヤド) 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。

特徴

ネットワークACLルールは、関連するvSwitchのECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックにのみ適用されます。 server load balancer (SLB) インスタンスによってECSインスタンスに転送されたトラフィックもフィルタリングされます。
説明
ECSインスタンスがカットスルーモードでEIP (elastic IPアドレス) にバインドされているセカンダリENI (elastic network interface) に関連付けられている場合、ネットワークACLはECSインスタンスのトラフィックをフィルタリングしません。詳細については、「カットスルーモードを設定する」をご参照ください。
ネットワークACLルールはステートレスです。インバウンドトラフィックの受け入れルールを設定した後、対応するアウトバウンドルールを設定することが不可欠です。そうしないと、応答しないリクエストが発生する可能性があります。
ルールが設定されていない場合、ネットワークACLはすべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否します。
vSwitch内のECSインスタンス間のトラフィックは、そのvSwitchにリンクされたネットワークACLによってフィルタリングされません。
ネットワークACLでは、100.100.2.128/28および100.100.2.112/28のDNSサーバーと、100.100.100.200/32のメタサーバーが許可されます。

説明

パラメーター

ネットワークACLルールには、次のパラメーターが含まれます。

優先度: 値が小さいほど優先度が高くなります。システムは、優先度の降順でルールに対して要求をマッチングし、最初のマッチングルールを適用し、残りを無視する。

たとえば、次のルールがネットワークACLに追加され、IPアドレス172.16.0.1宛てのリクエストがECSインスタンスから送信されます。この場合、要求は規則2および3に一致する。ルール2はルール3よりも優先度が高いので、システムはルール2を適用し、ルール2のポリシーに基づいて要求を拒否する。

優先度	プロトコル	宛先IPアドレス	宛先ポート範囲	ポリシー	データ型
1	すべて	10.0.0.0/8	-1/-1	許可	Custom
2	すべて	172.16.0.0/12	-1/-1	拒否	Custom
3	すべて	172.16.0.0/12	-1/-1	許可	Custom

ポリシー: 特定のトラフィックを許可または拒否します。
Protocol: トラフィックのプロトコル。有効な値は次のとおりです。
- ALL: すべてのプロトコル。 ALLを選択した場合、ポート範囲を指定できません。ポート範囲は -1/-1に設定され、すべてのポートを指定します。
- ICMP: インターネット制御メッセージプロトコル。 ICMPを選択すると、ポート範囲は指定できません。ポート範囲は -1/-1に設定され、すべてのポートを指定します。
- GRE: 汎用ルーティングカプセル化。 GREを選択した場合、ポート範囲は指定できません。ポート範囲は -1/-1に設定され、すべてのポートを指定します。
- TCP: 伝送制御プロトコル。このプロトコルを選択すると、ポート範囲は1〜65535になります。有効な形式は1/200または80/80です。値を -1/-1に設定しないでください。
- UDP: ユーザデータグラムプロトコル。有効なポート範囲は1〜65535です。有効な形式は1/200または80/80です。値を -1/-1に設定しないでください。
- ICMPv6: IPv6のインターネット制御メッセージプロトコル。 ALLを選択した場合、ポート範囲を指定できません。ポート範囲は -1/-1に設定され、すべてのポートを指定します。
送信元IPアドレス (インバウンドルールの場合): インバウンドトラフィックが送信される送信元IPアドレス。
宛先IPアドレス (アウトバウンドルールの場合): アウトバウンドトラフィックが送信される宛先IPアドレス。
宛先ポート範囲 (インバウンドルールの場合): インバウンドルールが適用される宛先ポートの範囲。
宛先ポート範囲 (アウトバウンドルールの場合): アウトバウンドルールが適用される宛先ポートの範囲。

アウトバウンドルールとインバウンドルール

アウトバウンドルールとインバウンドルールを作成する前に、次のルールに注意してください。

ネットワークACLでルールを追加または削除すると、変更は関連付けられたvSwitchに自動的に適用されます。
ネットワークACLにIPv6アウトバウンドルールとインバウンドルールを追加する場合、ネットワークACLが存在するVPCにIPv6 CIDRブロックを割り当てる必要があります。
DHCPオプションセットを構成するときは、ネットワークACLのアウトバウンドルールとインバウンドルールでDNSサーバーのIPアドレスを許可してください。ルールの追加に失敗すると、DHCPオプションセットの操作上の問題が発生する可能性があります。

デフォルトのアウトバウンドルールとインバウンドルールは、選択したリージョンによって異なります。

IPv6ネットワークACLをサポートしていないリージョンでは、デフォルトで1つのインバウンドルールと1つのアウトバウンドルールが作成されます。
クリックしてアウトバウンドルールとインバウンドルールを表示
- 受信ルール
  優先度
  プロトコル
  送信元IPアドレス
  宛先ポート範囲
  ポリシー
  データ型
  1
  すべて
  0.0.0.0/0
  -1/-1
  許可
  Custom
- アウトバウンドルール
  優先度
  プロトコル
  宛先IPアドレス
  宛先ポート範囲
  ポリシー
  データ型
  1
  すべて
  0.0.0.0/0
  -1/-1
  許可
  Custom

その他のリージョン：

ネットワークACLが属するVPCにIPv6が有効になっていない場合、デフォルトで5つのインバウンドルールと5つのアウトバウンドルールが作成されます。クラウドサービスルートは、ネットワークACLで許可されているDNSサーバーとMetaserver (メタデータサーバー) のアドレスです。

クリックしてアウトバウンドルールとインバウンドルールを表示

受信ルール

優先度	プロトコル	送信元IPアドレス	宛先ポート範囲	ポリシー	データ型
*	すべて	100.100.2.128/28	0:65535	許可	クラウドサービス
*	すべて	100.100.2.112/28	0:65535	許可	クラウドサービス
*	すべて	100.100.100.200/32	0:65535	許可	クラウドサービス
1	すべて	0.0.0.0/0	-1/-1	許可	Custom
*	すべて	0.0.0.0/0	0:65535	拒否	System

アウトバウンドルール

優先度	プロトコル	宛先IPアドレス	宛先ポート範囲	ポリシー	データ型
*	すべて	100.100.2.128/28	0:65535	許可	クラウドサービス
*	すべて	100.100.2.112/28	0:65535	許可	クラウドサービス
*	すべて	100.100.100.200/32	0:65535	許可	クラウドサービス
1	すべて	0.0.0.0/0	-1/-1	許可	Custom
*	すべて	0.0.0.0/0	0:65535	拒否	System

ACLが属するVPCにIPv6が有効になっている場合、インバウンドトラフィックとアウトバウンドトラフィックの両方に1つのシステムデフォルト拒否ルールと1つのカスタム許可-オールルールが追加され、デフォルトで合計7つのルールが作成されます。

クリックしてアウトバウンドルールとインバウンドルールを表示

受信ルール

優先度	プロトコル	送信元IPアドレス	宛先ポート範囲	ポリシー	データ型
*	すべて	100.100.2.128/28	0:65535	許可	クラウドサービス
*	すべて	100.100.2.112/28	0:65535	許可	クラウドサービス
*	すべて	100.100.100.200/32	0:65535	許可	クラウドサービス
1	すべて	0.0.0.0/0	-1/-1	許可	Custom
2	すべて	::/0	-1/-1	許可	Custom
*	すべて	0.0.0.0/0	0:65535	拒否	System
*	すべて	::/0	0:65535	拒否	System

アウトバウンドルール

優先度	プロトコル	宛先IPアドレス	宛先ポート範囲	ポリシー	データ型
*	すべて	100.100.2.128/28	0:65535	許可	クラウドサービス
*	すべて	100.100.2.112/28	0:65535	許可	クラウドサービス
*	すべて	100.100.100.200/32	0:65535	許可	クラウドサービス
1	すべて	0.0.0.0/0	-1/-1	許可	Custom
2	すべて	::/0	-1/-1	許可	Custom
*	すべて	0.0.0.0/0	0:65535	拒否	System
*	すべて	::/0	0:65535	拒否	System

ネットワークACLとセキュリティグループ

ネットワークACLは関連するvSwitchを介して送信されるデータを制御し、セキュリティグループは関連するECSインスタンスを介して送信されるデータをフィルタリングします。次の表は、ネットワークACLとセキュリティグループを比較しています。

項目	ネットワークACL	[セキュリティグループ]
適用範囲	vSwitch	ECS インスタンス
応答トラフィックのステータス	ステートレス: 返されるトラフィックはルールによって許可される必要があります。	ステートフル: 返されるトラフィックは自動的に許可され、ルールの影響を受けません。
ルールが評価されるかどうか	システムは、優先度の降順でルールに対して要求を照合します。すべてのルールが一致するわけではありません。	システムは、ルールが適用される前に、要求をすべてのルールと照合します。
ECSインスタンスとの関連付け	ECSインスタンスが属するvSwitchは、1つのネットワークACLにのみ関連付けることができます。	各ECSインスタンスは、複数のセキュリティグループに追加できます。

次の図は、ネットワークACLとセキュリティグループを適用してネットワークセキュリティを確保する方法を示しています。

制限事項

名前 /ID	説明	デフォルト値	調整可能
vpc_quota_nacl_ingress_エントリ	ネットワークACLに追加できるインバウンドルールの最大数	20	次の操作を実行して、クォータを増やすことができます。クォータ管理ページに移動して、クォータの増加をリクエストします。詳細については、「VPCクォータの管理」をご参照ください。クォータセンターページに移動して、クォータの増加をリクエストします。詳細については、「クォータの増加のリクエスト」をご参照ください。
vpc_quota_nacl_egress_エントリ	ネットワークACLに追加できるアウトバウンドルールの最大数	20
nacl_quota_vpc_create_count	各VPCで作成できるネットワークACLの最大数	20

手順

詳細については、「ネットワークACLの作成と管理」をご参照ください。