概要 - NHN Cloud 使用ガイド

Network > Network ACL > 概要

NHN CloudはNetwork ACL機能を提供します。これを利用すると protocol、ip、portごとにアクセス制御が可能になります。現在は韓国(ピョンチョン)リージョンにのみ提供されます。今後、他のリージョンもサポートする予定です。

ACL機能

ネットワークへ流入するパケットを制御するにはACL機能を利用します。この機能はセキュリティグループと区別される機能で、違いは次のとおりです。

[参考]セキュリティグループとNetwork ACL機能比較

区分セキュリティグループ Network ACL 備考

制御対象インスタンスネットワーク、インスタンス

設定対象 Protocol、IP、ポート設定 Protocol、IP、ポート設定 ACLはblack list、white listを選択して運用可能

制御トラフィック流入/流出トラフィック
選択可能 src、dstアドレス選択可能

アクセス制御タイプ許可ポリシーのみ設定許可または遮断ポリシー選択可能

区分	セキュリティグループ	Network ACL	備考
制御対象	インスタンス	ネットワーク、インスタンス
設定対象	Protocol、IP、ポート設定	Protocol、IP、ポート設定	ACLはblack list、white listを選択して運用可能
制御トラフィック	流入/流出トラフィック選択可能	src、dstアドレス選択可能
アクセス制御タイプ	許可ポリシーのみ設定	許可または遮断ポリシー選択可能

流入/流出トラフィックでNetwork ACL設定がセキュリティグループ設定より先に適用されます。 Network ACL設定で許可されていても、セキュリティグループで遮断される場合があるため、両方を確認する必要があります。

Network ACL機能を利用するには、次の事項を設定する必要があります。

ACL

1つのプロジェクトに最大10個のACLを作成できます。
プロパティは名前、メモです。

ACL Rule

1つのプロジェクトに最大100個のruleを作成できます。
order番号に応じてpriorityを持ち、順序どおりに適用されます。小さい番号が高いpriorityを持ちます。
'許可(Allow)'：該当のruleにマッチするアクセスは許可します。
'遮断(Deny)'：該当ruleにマッチするアクセスは遮断します。
1つのアクセス制御対象はIPアドレスまたはCIDR形式のIPアドレス範囲を持つことができます。CIDR形式のIPアドレス範囲を入力すると該当ネットワーク内で入力した帯域がアクセス制御対象に含まれます。
プロトコルを指定する場合、1つのポートまたはポート範囲を持つことができます。
srcとdstに対してruleを常にペアで設定する必要があります。

ACL Binding

1つのACLにbindingできるnetworkの最大数はVPCの数と同じです。
1つのACLは複数のNetworkに適用できます。
1つのNetworkには1つのACLを適用できます。

[参考]

NetworkとACL動作

Networkを削除するとACL bindingが削除されます。ACLは削除されません。

ACLにbindingされたnetworkがある場合、ACLを削除できません。

ACL ruleを追加または削除すると、bindingされたすべてのnetworkにその内容が反映されます。

Network > Network ACL > 概要

ACL機能

ACL

ACL Rule

ACL Binding

NetworkとACL動作

目次