ネットワークアクセス制御リスト (ACL) は、仮想プライベートクラウド (VPC) のネットワークアクセス制御機能です。 ネットワークACLルールを作成し、ネットワークACLをvSwitchに関連付けることができます。 これにより、vSwitchにアタッチされているElastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理できます。
特徴
ネットワークACLルールは、関連するvSwitchのECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックにのみ適用されます。 server load balancer (SLB) インスタンスによってECSインスタンスに転送されたトラフィックもフィルタリングされます。
説明ECSインスタンスがカットスルーモードでEIP (elastic IPアドレス) にバインドされているセカンダリENI (elastic network interface) に関連付けられている場合、ネットワークACLはECSインスタンスのトラフィックをフィルタリングしません。詳細については、「カットスルーモードを設定する」をご参照ください。
ネットワークACLルールはステートレスです。 インバウンドトラフィックの受け入れルールを設定した後、対応するアウトバウンドルールを設定することが不可欠です。 そうしないと、応答しないリクエストが発生する可能性があります。
ルールが設定されていない場合、ネットワークACLはすべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否します。
vSwitch内のECSインスタンス間のトラフィックは、そのvSwitchにリンクされたネットワークACLによってフィルタリングされません。
ネットワークACLでは、100.100.2.128/28および100.100.2.112/28のDNSサーバーと、100.100.100.200/32のメタサーバーが許可されます。
説明
Parameters
ネットワークACLルールには、次のパラメーターが含まれます。
優先度: 値が小さいほど優先度が高くなります。 システムは、優先度の降順でルールに対して要求をマッチングし、最初のマッチングルールを適用し、残りを無視する。
たとえば、次のルールがネットワークACLに追加され、IPアドレス172.16.0.1宛てのリクエストがECSインスタンスから送信されます。 この場合、要求は規則2および3に一致する。 ルール2はルール3よりも優先度が高いので、システムはルール2を適用し、ルール2のポリシーに基づいて要求を拒否する。
優先度
プロトコル
宛先IPアドレス
宛先ポート範囲
ポリシー
型
1
すべて
10.0.0.0/8
-1/-1
許可
Custom
2
すべて
172.16.0.0/12
-1/-1
拒否
Custom
3
すべて
172.16.0.0/12
-1/-1
許可
Custom
ポリシー: 特定のトラフィックを許可または拒否します。
Protocol: トラフィックのプロトコル。 有効な値は次のとおりです。
ALL: すべてのプロトコル。 ALLを選択した場合、ポート範囲を指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
ICMP: インターネット制御メッセージプロトコル。 ICMPを選択すると、ポート範囲は指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
GRE: 汎用ルーティングカプセル化。 GREを選択した場合、ポート範囲は指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
TCP: 伝送制御プロトコル。 このプロトコルを選択すると、ポート範囲は1〜65535になります。 有効な形式は1/200または80/80です。 値を -1/-1に設定しないでください。
UDP: ユーザデータグラムプロトコル。 有効なポート範囲は1〜65535です。 有効な形式は1/200または80/80です。 値を -1/-1に設定しないでください。
ICMPv6: IPv6のインターネット制御メッセージプロトコル。 ALLを選択した場合、ポート範囲を指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
送信元IPアドレス (インバウンドルールの場合): インバウンドトラフィックが送信される送信元IPアドレス。
送信元IPアドレス (アウトバウンドルールの場合): アウトバウンドトラフィックが送信される宛先IPアドレス。
宛先ポート範囲 (インバウンドルールの場合): インバウンドルールが適用される宛先ポートの範囲。
宛先ポート範囲 (アウトバウンドルールの場合): アウトバウンドルールが適用される宛先ポートの範囲。
アウトバウンドルールとインバウンドルール
アウトバウンドルールとインバウンドルールを作成する前に、次のルールに注意してください。
ネットワークACLでルールを追加または削除すると、変更は関連付けられたvSwitchに自動的に適用されます。
ネットワークACLにIPv6アウトバウンドルールとインバウンドルールを追加する場合、ネットワークACLが存在するVPCにIPv6 CIDRブロックを割り当てる必要があります。
DHCPオプションセットを構成するときは、ネットワークACLのアウトバウンドルールとインバウンドルールでDNSサーバーのIPアドレスを許可してください。 ルールの追加に失敗すると、DHCPオプションセットの操作上の問題が発生する可能性があります。
デフォルトのアウトバウンドルールとインバウンドルールは、選択したリージョンによって異なります。
IPv6ネットワークACLをサポートしていないリージョンでは、デフォルトで1つのインバウンドルールと1つのアウトバウンドルールが作成されます。
その他のリージョン:
ネットワークACLが属するVPCにIPv6が有効になっていない場合、デフォルトで5つのインバウンドルールと5つのアウトバウンドルールが作成されます。 クラウドサービスルートは、ネットワークACLで許可されているDNSサーバーとMetaserver (メタデータサーバー) のアドレスです。
ACLが属するVPCにIPv6が有効になっている場合、インバウンドトラフィックとアウトバウンドトラフィックの両方に1つのシステムデフォルト拒否ルールと1つのカスタム許可-オールルールが追加され、デフォルトで合計7つのルールが作成されます。
制限事項
機能とサポート対象リージョン
IPv4ネットワークACLをサポートするリージョン
地域 | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 、中国 (南京-地方地域) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、中国 (武漢-地方) 、中国 (福州-地方) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) |
中東 | UAE (ドバイ) とSAU (リヤド) 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。 |
IPv6ネットワークACLをサポートするリージョン
地域 | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、日本 (東京) 、韓国 (ソウル) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、米国 (シリコンバレー) 、米国 (バージニア) |
中東 | UAE (ドバイ) とSAU (リヤド) 重要 SAU (リヤド-パートナーリージョン) はパートナーによって運営されています。 |
制限事項
名前 /ID | 説明 | デフォルト値 | 調整可能 |
vpc_quota_nacl_ingress_エントリ | ネットワークアクセス制御リスト (ACL) に追加できるインバウンドルールの最大数 | 20 | 次の操作を実行して、クォータを増やすことができます。
|
vpc_quota_nacl_egress_エントリ | ネットワークACLに追加できるアウトバウンドルールの最大数 | 20 | |
nacl_quota_vpc_create_count | 各VPCで作成できるネットワークACLの最大数 | 20 |
関連ドキュメント
VPCでアクセス制御を実装する方法の詳細については、「ネットワークACLの作成と管理」をご参照ください。
ネットワークACLを使用して、異なるvSwitch内のECSインスタンス間の通信の管理またはデータセンターとVPC間の通信の管理を行うことができます。