仮想プライベートクラウド (VPC) にネットワークアクセス制御リスト (ACL) を作成し、ネットワークACLにインバウンドルールとアウトバウンドルールを追加できます。 ネットワークACLを作成した後、ネットワークACLをvSwitchに関連付けて、vSwitchのアクセス制御を有効にすることができます。
前提条件
VPCとvSwitchが作成されます。 詳細については、「VPCの作成と管理」および「vSwitchの作成と管理」をご参照ください。
VPCのIPv6ネットワークACLを作成する前に、VPCのIPv6を有効にする必要があります。
VPCのIPv6を有効にする方法の詳細については、「VPCのIPv6の有効化」をご参照ください。
IPv6ネットワークACLをサポートするリージョンの詳細については、「IPv6ネットワークACLをサポートするリージョン」をご参照ください。
使用上の注意
最大20個のIPv4ルールと20個のIPv6ルールを追加できます。 クォータを増やすには、クォータセンターに移動します。
ネットワークACLの作成
ネットワークACLを作成し、それをvSwitchに関連付けて、vSwitchのインバウンドおよびアウトバウンドトラフィックを管理できます。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、ネットワークACLを作成するリージョンを選択します。
ネットワークACLページでネットワークACLの作成をクリックします。
[ネットワークACLの作成] ダイアログボックスで、次のパラメーターを設定します。 テーブルでカバーされていないパラメータをデフォルト値として保持するか、必要に応じて変更します。
パラメーター
説明
VPC
ネットワークACLを作成するVPCを選択します。
説明VPCとネットワークACLは同じリージョンにデプロイする必要があります。
ネットワークACLにルールを追加する
ネットワークACLを作成した後、インバウンドルールをネットワークACLに追加できます。 インバウンドルールを使用して、vSwitch内のECSインスタンスにインターネット経由でアクセスできるか、プライベートネットワーク経由でアクセスできるかを制御できます。 アウトバウンドルールをネットワークACLに追加することもできます。 アウトバウンドルールを使用して、vSwitch内のECSインスタンスがインターネットまたはプライベートネットワークにアクセスできるかどうかを制御できます。
ネットワークACLはステートレスです。 トラフィックを許可するインバウンドルールを設定する場合は、対応するアウトバウンドルールも設定する必要があります。 そうしないと、システムは要求に応答しない可能性があります。
[ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。
基本情報セクションでは、インバウンドルールまたはアウトバウンドルールを設定できます。
インバウンドルールの作成
[インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。
以下のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
優先度
受信ルールの優先度。
数字が小さいほど、優先度が高くなります。 最大20のルールを作成できます。
タイプ
IPv6ネットワークACLを作成すると、次のタイプがサポートされます。
クラウドサービス: デフォルトでは、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。
カスタム: デフォルトでは、2つの許可ルールが作成されます。 ルールを変更または削除できます。
システム: デフォルトでは、優先度が最も低い2つの拒否ルールが作成されます。 ルールを変更または削除することはできません。
IPv4のみをサポートするネットワークACLを作成すると、デフォルトでIPv4タイプのカスタム許可ルールが作成されます。
説明カスタムタイプのインバウンドIPv4またはIPv6ルールのみを作成できます。
Action
インバウンドルールのアクションを選択します。 有効な値:
許可: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを受け入れます。
拒否: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを削除します。
プロトコルタイプ
プロトコルを選択します。 有効な値:
すべて
ICMP
GRE
TCP
UDP
ICMPv6 IPv6のみ選択できます。
IPバージョン
IPバージョンを選択します。 有効な値:
IPv4
IPv6
ソースIPアドレス
データが送信されるソースCIDRブロックを指定します。
デフォルト値: 0.0.0.0/0
ポート範囲
インバウンドルールのポート範囲を入力します。
有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。
ALL、ICMP、またはGREを選択し、ICMPv6を選択した場合、ポート範囲は -1/-1に設定されます。 TCPまたはUDPを選択した場合、ポート範囲は1 ~ 65535です。 有効な形式: 1/200および80/80 値を -1/-1に設定しないでください。
(オプション) [インバウンドルール] タブで、[IPv4ルールの追加] または [IPv6ルールの追加] をクリックして、インバウンドIPv4またはIPv6ルールを追加します。
アウトバウンドルールの作成
[アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。
以下のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
優先度
アウトバウンドルールの優先度を設定します。
数字が小さいほど、優先度が高くなります。 最大20のルールを作成できます。
タイプ
IPv6ネットワークACLを作成すると、次のタイプがサポートされます。
クラウドサービス: デフォルトでは、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。
カスタム: デフォルトでは、2つの許可ルールが作成されます。 ルールを変更または削除できます。
システム: デフォルトでは、優先度が最も低い2つの拒否ルールが作成されます。 ルールを変更または削除することはできません。
IPv4のみをサポートするネットワークACLを作成すると、デフォルトでIPv4タイプのカスタム許可ルールが作成されます。
説明IPv4またはIPv6タイプのカスタムアウトバウンドルールのみを作成できます。
Action
アウトバウンドルールのアクションを選択します。 有効な値:
許可: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスできるようにします。
拒否: vSwitchに接続されているECSインスタンスがインターネットやその他のプライベートネットワークにアクセスすることを禁止します。
プロトコル
プロトコルを選択します。 有効な値:
すべて
ICMP
GRE
TCP
UDP
ICMPv6 IPv6のみ選択できます。
IPバージョン
IPバージョンを選択します。 有効な値:
IPv4
IPv6
宛先IPアドレス
トラフィックの宛先CIDRブロックを指定します。
デフォルト値: 0.0.0.0/0
ポート範囲
アウトバウンドルールのポート範囲を入力します。
有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。
(オプション) [アウトバウンドルール] タブで、[IPv4ルールの追加] または [IPv6ルールの追加] をクリックして、インバウンドIPv4またはIPv6ルールを追加します。
クイック追加機能の使用
複数のCIDRブロックのアクセス制御を管理する必要がある場合は、クイック追加機能を使用してネットワークACLルールをすばやく追加できます。
[ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。
基本情報セクションでは、複数のCIDRブロックのインバウンドルールまたはアウトバウンドルールを追加できます。
インバウンドルールをすばやく追加する
[インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。
タブの下部で、[クイック追加] をクリックします。 [クイック追加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ポリシー
インバウンドルールのアクションを選択します。 有効な値:
Accept: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを受け入れます。
Drop: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックをドロップします。
IPアドレス
データフローの1つ以上のソースIPv4 CIDRブロックを入力します。
ポート範囲
インバウンドルールのポート範囲を選択します。 有効な値: -1 から 65535 ポートの詳細については、「一般的なシナリオ」をご参照ください。
有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。
優先度
ルールの優先度を指定します。 優先度の詳細については、「概要」をご参照ください。
たとえば、優先度が1のルールの後にルールを追加するには、[add 1 Entries after] を指定します。
ルール名とプロトコル (デフォルトではTCP) を指定し、[OK] をクリックします。
アウトバウンドルールをすばやく追加する
[アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。
タブの下部で、[クイック追加] をクリックします。 [クイック追加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ポリシー
アウトバウンドルールのアクションを選択します。 有効な値:
Accept: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスできるようにします。
Drop: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスすることを禁止します。
IPアドレス
1つ以上の宛先IPv4 CIDRブロックを入力します。
ポート範囲
アウトバウンドルールのポート範囲を選択します。 有効な値: -1 から 65535 ポートの詳細については、「一般的なシナリオ」をご参照ください。
有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。
優先度
ルールの優先度を指定します。 優先度の詳細については、「概要」をご参照ください。
たとえば、優先度が1のルールの後にルールを追加するには、[add 1 Entries after] を指定します。
ルール名とプロトコル (デフォルトではTCP) を指定し、[OK] をクリックします。
インポートとエクスポートのルール
ネットワークACLルールを一括でインポートまたはエクスポートすることで、データの一貫性を確保し、構成効率を高めることができます。
クイックセットアップ: ルールファイルを既存のネットワークACLにインポートして、クイックアプリケーションを実行します。
ルールバックアップ: ローカルバックアップ用にネットワークACLルールを一括エクスポートします。
ルールをバッチでインポートする
現在、[インバウンドルール] セクションで利用可能なテンプレート (CSVファイル) と同じ形式のルールのみをインポートできます。
テンプレート内のすべてのパラメータに記入する必要があります。 パラメーターがないルールはインポートできません。
IPv6機能がネットワークACLで有効になっていない場合、IPv6のルールはインポートできません。
インポートされたルールは既存のルールに順番に追加され、上書きされません。
[ネットワークACL] ページで、対象のネットワークACLを見つけ、IDをクリックします。
[インバウンドルール] または [アウトバウンドルール] タブをクリックし、[ルールのインポート] をクリックします。
テンプレートをダウンロードし、テンプレートに従ってインポートするネットワークACLルールを入力します。
[ルールのインポート] ダイアログボックスで、ファイルを選択するか、ボックスにドラッグしてアップロードします。
ルールをバッチでエクスポート
[ルールのエクスポート] をクリックしてCSVファイルをダウンロードし、ローカルに保存します。
次に何をすべきか
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、管理するネットワークACLが属するリージョンを選択します。
[ネットワークACL] ページでは、必要に応じて次の操作を実行できます。
パラメーター
説明
ネットワークACLルールの優先順位を変更する
ネットワークACLルールは、優先度の高い順に有効になります。 数字が小さいほど、優先度が高くなります。 ビジネス要件に基づいてネットワークACLルールに優先順位を付けることができます。
ネットワークACLのIDをクリックします。
On the基本情報ページでは、インバウンドルールとアウトバウンドルールの優先順位を変更できます。
インバウンドルールの優先度の変更
[インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。
インバウンドルールを上下にドラッグアンドドロップし、[OK] をクリックします。
アウトバウンドルールの優先度の変更
[アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。
インバウンドルールを上下にドラッグアンドドロップし、[OK] をクリックします。
ネットワークACLをvSwitchに関連付ける
ネットワークACLをvSwitchに関連付ける前に、次の要件が満たされていることを確認してください。
ネットワークACLが作成され、ネットワークACLルールが追加されます。
vSwitchとネットワークACLは同じVPCに属している必要があります。
ネットワークACLを見つけて、アクション列でvSwitch と関連付けるをクリックします。
バインド済みリソースタブでvSwitch と関連付けるをクリックします。
vSwitch と関連付けるダイアログボックスで、関連付けるvSwitchを選択し、OKをクリックします。
ネットワークACLとvSwitchは同じVPCに属している必要があります。 vSwitchは、1つのネットワークACLにのみ関連付けることができます。
vSwitchからネットワークACLの関連付けを解除する
vSwitchからネットワークACLの関連付けを解除できます。 ネットワークACLがvSwitchとの関連付けを解除されると、ネットワークACLはvSwitchに接続されているECSインスタンスを流れるトラフィックを制御しなくなります。
ネットワークACLを見つけて、アクション列でvSwitch と関連付けるをクリックします。
バインド済みリソースタブで、vSwitchを見つけてクリックします。アクション列でバインド解除をクリックします。
ネットワーク ACL のバインド解除メッセージで、OKをクリックします。
ネットワークACLの削除
ネットワークACLを削除する前に、vSwitchからネットワークACLの関連付けを解除する必要があります。
ネットワークACLを見つけて、アクション列で削除をクリックします。
では、ネットワーク ACL の削除メッセージでOKをクリックします。
関連ドキュメント
SDK、Terraform、またはROSを使用してAPIを呼び出すことで、ネットワークACLを管理できます。
CreateNetworkAcl: ネットワークACLを作成します。
DeleteNetworkAcl: ネットワークACLを削除します。
CopyNetworkAclEntries: ネットワークACLをコピーします。
UpdateNetworkAclEntries: ネットワークACLルールを更新します。
AssociateNetworkAcl: ネットワークACLをvSwitchに関連付けます。
UnassociateNetworkAcl: vSwitchからネットワークACLの関連付けを解除します。