すべてのプロダクト
Search
ドキュメントセンター

Virtual Private Cloud:ネットワーク ACL

最終更新日:Dec 05, 2024

ネットワークアクセス制御リスト (ACL) は、仮想プライベートクラウド (VPC) のネットワークアクセス制御機能です。 ネットワークACLルールを作成し、ネットワークACLをvSwitchに関連付けることができます。 これにより、vSwitchにアタッチされているElastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理できます。

image

特徴

  • ネットワークACLルールは、関連するvSwitchのECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックにのみ適用されます。 server load balancer (SLB) インスタンスによってECSインスタンスに転送されたトラフィックもフィルタリングされます。

    説明

    ECSインスタンスがカットスルーモードでEIP (elastic IPアドレス) にバインドされているセカンダリENI (elastic network interface) に関連付けられている場合、ネットワークACLはECSインスタンスのトラフィックをフィルタリングしません。詳細については、「カットスルーモードを設定する」をご参照ください。

  • ネットワークACLルールはステートレスです。 インバウンドトラフィックの受け入れルールを設定した後、対応するアウトバウンドルールを設定することが不可欠です。 そうしないと、応答しないリクエストが発生する可能性があります。

  • ルールが設定されていない場合、ネットワークACLはすべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否します。

  • vSwitch内のECSインスタンス間のトラフィックは、そのvSwitchにリンクされたネットワークACLによってフィルタリングされません。

  • ネットワークACLでは、100.100.2.128/28および100.100.2.112/28のDNSサーバーと、100.100.100.200/32のメタサーバーが許可されます。

説明

Parameters

ネットワークACLルールには、次のパラメーターが含まれます。

  • 優先度: 値が小さいほど優先度が高くなります。 システムは、優先度の降順でルールに対して要求をマッチングし、最初のマッチングルールを適用し、残りを無視する。

    たとえば、次のルールがネットワークACLに追加され、IPアドレス172.16.0.1宛てのリクエストがECSインスタンスから送信されます。 この場合、要求は規則2および3に一致する。 ルール2はルール3よりも優先度が高いので、システムはルール2を適用し、ルール2のポリシーに基づいて要求を拒否する。

    優先度

    プロトコル

    宛先IPアドレス

    宛先ポート範囲

    ポリシー

    1

    すべて

    10.0.0.0/8

    -1/-1

    許可

    Custom

    2

    すべて

    172.16.0.0/12

    -1/-1

    拒否

    Custom

    3

    すべて

    172.16.0.0/12

    -1/-1

    許可

    Custom

  • ポリシー: 特定のトラフィックを許可または拒否します。

  • Protocol: トラフィックのプロトコル。 有効な値は次のとおりです。

    • ALL: すべてのプロトコル。 ALLを選択した場合、ポート範囲を指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。

    • ICMP: インターネット制御メッセージプロトコル。 ICMPを選択すると、ポート範囲は指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。

    • GRE: 汎用ルーティングカプセル化。 GREを選択した場合、ポート範囲は指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。

    • TCP: 伝送制御プロトコル。 このプロトコルを選択すると、ポート範囲は1〜65535になります。 有効な形式は1/200または80/80です。 値を -1/-1に設定しないでください。

    • UDP: ユーザデータグラムプロトコル。 有効なポート範囲は1〜65535です。 有効な形式は1/200または80/80です。 値を -1/-1に設定しないでください。

    • ICMPv6: IPv6のインターネット制御メッセージプロトコル。 ALLを選択した場合、ポート範囲を指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。

  • 送信元IPアドレス (インバウンドルールの場合): インバウンドトラフィックが送信される送信元IPアドレス。

  • 送信元IPアドレス (アウトバウンドルールの場合): アウトバウンドトラフィックが送信される宛先IPアドレス。

  • 宛先ポート範囲 (インバウンドルールの場合): インバウンドルールが適用される宛先ポートの範囲。

  • 宛先ポート範囲 (アウトバウンドルールの場合): アウトバウンドルールが適用される宛先ポートの範囲。

アウトバウンドルールとインバウンドルール

アウトバウンドルールとインバウンドルールを作成する前に、次のルールに注意してください。

  • ネットワークACLでルールを追加または削除すると、変更は関連付けられたvSwitchに自動的に適用されます。

  • ネットワークACLにIPv6アウトバウンドルールとインバウンドルールを追加する場合、ネットワークACLが存在するVPCにIPv6 CIDRブロックを割り当てる必要があります。

  • DHCPオプションセットを構成するときは、ネットワークACLのアウトバウンドルールとインバウンドルールでDNSサーバーのIPアドレスを許可してください。 ルールの追加に失敗すると、DHCPオプションセットの操作上の問題が発生する可能性があります。

デフォルトのアウトバウンドルールとインバウンドルールは、選択したリージョンによって異なります。

  • IPv6ネットワークACLをサポートしていないリージョンでは、デフォルトで1つのインバウンドルールと1つのアウトバウンドルールが作成されます。

    クリックしてアウトバウンドルールとインバウンドルールを表示

    • 受信ルール

      優先度

      プロトコル

      送信元IPアドレス

      ソースポート範囲

      ポリシー

      タイプ

      1

      すべて

      0.0.0.0/0

      -1/-1

      許可

      Custom

    • アウトバウンドルール

      優先度

      プロトコル

      宛先IPアドレス

      宛先ポート範囲

      ポリシー

      タイプ

      1

      すべて

      0.0.0.0/0

      -1/-1

      許可

      Custom

  • その他のリージョン:

    • ネットワークACLが属するVPCにIPv6が有効になっていない場合、デフォルトで5つのインバウンドルールと5つのアウトバウンドルールが作成されます。 クラウドサービスルートは、ネットワークACLで許可されているDNSサーバーとMetaserver (メタデータサーバー) のアドレスです。

    • クリックしてアウトバウンドルールとインバウンドルールを表示

      • 受信ルール

        優先度

        プロトコル

        送信元IPアドレス

        ソースポート範囲

        ポリシー

        タイプ

        *

        すべて

        100.100.2.128/28

        0:65535

        許可

        クラウドサービス

        *

        すべて

        100.100.2.112/28

        0:65535

        許可

        クラウドサービス

        *

        すべて

        100.100.100.200/32

        0:65535

        許可

        クラウドサービス

        1

        すべて

        0.0.0.0/0

        -1/-1

        許可

        Custom

        *

        すべて

        0.0.0.0/0

        0:65535

        拒否

        System

      • アウトバウンドルール

        優先度

        プロトコル

        宛先IPアドレス

        宛先ポート範囲

        ポリシー

        タイプ

        *

        すべて

        100.100.2.128/28

        0:65535

        許可

        クラウドサービス

        *

        すべて

        100.100.2.112/28

        0:65535

        許可

        クラウドサービス

        *

        すべて

        100.100.100.200/32

        0:65535

        許可

        クラウドサービス

        1

        すべて

        0.0.0.0/0

        -1/-1

        許可

        Custom

        *

        すべて

        0.0.0.0/0

        0:65535

        拒否

        System

    • ACLが属するVPCにIPv6が有効になっている場合、インバウンドトラフィックとアウトバウンドトラフィックの両方に1つのシステムデフォルト拒否ルールと1つのカスタム許可-オールルールが追加され、デフォルトで合計7つのルールが作成されます。

      クリックしてアウトバウンドルールとインバウンドルールを表示

      • 受信ルール

        優先度

        プロトコル

        送信元IPアドレス

        ソースポート範囲

        ポリシー

        タイプ

        *

        すべて

        100.100.2.128/28

        0:65535

        許可

        クラウドサービス

        *

        すべて

        100.100.2.112/28

        0:65535

        許可

        クラウドサービス

        *

        すべて

        100.100.100.200/32

        0:65535

        許可

        クラウドサービス

        1

        すべて

        0.0.0.0/0

        -1/-1

        許可

        Custom

        2

        すべて

        ::/0

        -1/-1

        許可

        Custom

        *

        すべて

        0.0.0.0/0

        0:65535

        拒否

        System

        *

        すべて

        ::/0

        0:65535

        拒否

        System

      • アウトバウンドルール

        優先度

        プロトコル

        宛先IPアドレス

        宛先ポート範囲

        ポリシー

        タイプ

        *

        すべて

        100.100.2.128/28

        0:65535

        許可

        クラウドサービス

        *

        すべて

        100.100.2.112/28

        0:65535

        許可

        クラウドサービス

        *

        すべて

        100.100.100.200/32

        0:65535

        許可

        クラウドサービス

        1

        すべて

        0.0.0.0/0

        -1/-1

        許可

        Custom

        2

        すべて

        ::/0

        -1/-1

        許可

        Custom

        *

        すべて

        0.0.0.0/0

        0:65535

        拒否

        System

        *

        すべて

        ::/0

        0:65535

        拒否

        System

制限事項

機能とサポート対象リージョン

IPv4ネットワークACLをサポートするリージョン

地域

リージョン

アジア太平洋

中国 (杭州)中国 (上海)

中国 (南京-地方地域)中国 (青島)中国 (北京)中国 (張家口)中国 (フフホト)中国 (ウランカブ)中国 (深セン)中国 (河源)中国 (広州)中国 (成都)中国 (香港)中国 (武漢-地方)中国 (福州-地方)日本 (東京)韓国 (ソウル)シンガポールマレーシア (クアラルンプール)インドネシア (ジャカルタ)フィリピン (マニラ)タイ (バンコク)

ヨーロッパおよびアメリカ

ドイツ (フランクフルト)英国 (ロンドン)米国 (シリコンバレー)米国 (バージニア)

中東

UAE (ドバイ)SAU (リヤド)

重要

SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。

IPv6ネットワークACLをサポートするリージョン

地域

リージョン

アジア太平洋

中国 (杭州)中国 (上海)中国 (青島)中国 (北京)中国 (フフホト)中国 (ウランカブ)中国 (深セン)中国 (広州)中国 (成都)中国 (香港)日本 (東京)韓国 (ソウル)マレーシア (クアラルンプール)インドネシア (ジャカルタ)フィリピン (マニラ)タイ (バンコク)

ヨーロッパおよびアメリカ

ドイツ (フランクフルト)米国 (シリコンバレー)米国 (バージニア)

中東

UAE (ドバイ)SAU (リヤド)

重要

SAU (リヤド-パートナーリージョン) はパートナーによって運営されています。

制限事項

名前 /ID

説明

デフォルト値

調整可能

vpc_quota_nacl_ingress_エントリ

ネットワークアクセス制御リスト (ACL) に追加できるインバウンドルールの最大数

20

次の操作を実行して、クォータを増やすことができます。

vpc_quota_nacl_egress_エントリ

ネットワークACLに追加できるアウトバウンドルールの最大数

20

nacl_quota_vpc_create_count

各VPCで作成できるネットワークACLの最大数

20

関連ドキュメント