tencent cloud

Cloud Virtual Machine

最新情報とお知らせ
製品情報
パブリックイメージの更新情報
OSの公式サポート終了計画
製品に関するお知らせ
製品概要
CVM概要
製品の強み
基本概念
リージョンとゾーン
初心者ガイド
Service Regions and Service Providers
製品の課金
課金概要
課金モデル
課金項目
課金モデルの変更
購入インスタンス
仕様変更の料金説明
料金未払いに関する説明
クイックスタート
カスタム設定によるLinuxインスタンスの購入
カスタム設定によるWindowsインスタンスの購入
ユーザーガイド
操作ガイド一覧
ご利用制限一覧
インスタンス
スポットインスタンス
リザーブドインスタンス
イメージ
ストレージ
バックアップと復元
ネットワーク
セキュリティ
パスワード/キー
監視とアラート
運用管理
便利な機能
サーバー移行
オンライン移行
オフライン移行
移行に関するご相談
トラブルシューティング
CVMインスタンスにログインできない原因や対処法
Windowsインスタンスのログインに関する障害
Linuxインスタンスのログインに関する障害
その他のインスタンスログインに関する障害
インスタンス実行時の障害
Linuxインスタンスのメモリに関する障害
ネットワーク障害
実践チュートリアル
CVMの選定ガイド
環境構築
ウェブサイトの構築
アプリケーションの構築
可視化ページの構築
ローカルファイルをCVMへアップロード
ネットワークパフォーマンステスト
その他の実践チュートリアル
API リファレンス
History
Introduction
API Category
Making API Requests
Region APIs
Instance APIs
Cloud Hosting Cluster APIs
Image APIs
Instance Launch Template APIs
Placement Group APIs
Key APIs
Security Group APIs
Network APIs
Data Types
Error Codes
セキュリティとコンプライアンス
Cloud Access Management(CAM)
ネットワーク
よくあるご質問
リージョンとアベイラビリティゾーンに関するご質問
課金クラス
インスタンスに関するご質問
ストレージに関するご質問
イメージに関するご質問
サーバー移行について
ネットワークに関するご質問
セキュリティに関するご質問
OSに関するご質問
運用と監視に関するご質問
CAMに関するご質問
NTPサービスに関するご質問
適用シナリオに関するご質問
Agreements
CVM Service Level Agreements
Red Hat Enterprise Linux Image Service Agreement
Public IP Service Level Agreement
用語集
ドキュメントCloud Virtual Machineユーザーガイドセキュリティセキュリティグループセキュリティグループの適用例

セキュリティグループの適用例

PDF
フォーカスモード
フォントサイズ
最終更新日: 2022-12-26 10:41:53
セキュリティグループの設定は、Cloud Virtual Machines(CVM)へのアクセスを管理するために使用され、セキュリティグループのインバウンドとアウトバウンドルールを設定することにより、お客様のCVMにアクセスできるかまたは他のネットワークリソースにアクセスできるかどうかを設定できます。 デフォルトでは、セキュリティグループのインバウンドとアウトバウンドルールは次のとおりです。
データセキュリティのため、セキュリティグループのインバウンドルールは拒否ポリシーであり、外部ネットワークへのリモートアクセスを禁止します。CVMに外部からアクセスする必要がある場合は、対応するポートのインバウンドルールを許可にする必要があります。
セキュリティグループのアウトバウンドルールは、お客様のCVMが外部ネットワークリソースにアクセスできるかどうかを設定するために用います。「すべてのポートを開放する」または「ポート22、80、443、3389を開放し、ICMPプロトコルを許可する」を選択した場合、セキュリティグループのアウトバウンドルールはすべてのポートを開放します。カスタムセキュリティグループルールを選択した場合、アウトバウンドルールはデフォルトで「すべて拒否」となるので、対応するポートのアウトバウンドルールを許可にして、外部ネットワークリソースにアクセスできるようにする必要があります。

一般的なユースケース

このドキュメントでは、セキュリティグループのいくつかの一般的なユースケースを紹介します。以下のケースが要件を満たしている場合は、対応するユースケースの推奨設定に従ってセキュリティグループを直接設定できます。

シナリオ1:SSH経由でLinux CVMにリモート接続する

事例:Linux CVMを作成し、SSH経由でCVMにリモート接続したい場合。 解決策セキュリティグループルールの追加 を行うときに、「タイプ」で「Linuxログイン」を選択し、ソースがWebShellプロキシIPであるプロトコルポート22を開放し、LinuxSSHログインを許可します。 また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、SSH経由でCVMにリモート接続できるIPソースを設定することもできます。
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド方向
Linuxログイン
すべてのIP:0.0.0.0/0
WebShellプロキシIP:詳細については、OrcatermプロキシIPアドレスの置き換えに関する通知 をご参照ください
IPの指定:指定するIPまたはIPセグメントを入力します
TCP:22
許可

シナリオ2:RDP経由でWindows CVMにリモート接続する

事例:Windows CVMを作成し、RDP経由でCVMにリモート接続したい場合。 解決策セキュリティグループルールの追加 を行うときに、「タイプ」で「Windowsログイン」を選択し、ソースがWebRDPプロキシIPのプロトコルポート3389を開放し、Windowsリモートログインを許可します。 また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、RDP経由でCVMにリモート接続できるIPソースを設定することもできます。
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド方向
Windowsログイン
すべてのIP:0.0.0.0/0
WebRDPプロキシIP:
81.69.102.0/24
106.55.203.0/24
101.33.121.0/24
101.32.250.0/24
IPの指定:指定するIPまたはIPセグメントを入力します
TCP:3389
許可

シナリオ3:パブリックネットワークがCVMにpingできるようにする

事例:CVMを構築し、このCVMと他のCVM間の通信ステータスが正常であるかどうかをテストしたい場合。 解決策:pingプログラムを使用してテストを行います。手順は、セキュリティグループルールの追加 を行うときに、「タイプ]で「Ping」を選択し、ICMPプロトコルポートを開放して、その他のCVMがICMPプロトコルを介してCVMにアクセスすることを許可します。 また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、ICMPプロトコルを介したCVMへのアクセスを許可するIPソースを設定することもできます。
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド
Ping
すべての IP:0.0.0.0/0
IPを指定:指定したIPまたはIPセグメントを入力します
ICMP
許可

シナリオ4:Telnetを介してCVMにリモートログイン

事例:Telnetを介してCVMにリモートログインしたい場合。 解決策:Telnetを介してCVMにリモートログインする必要がある場合は、セキュリティグループルールの追加 を行うときに、以下のセキュリティグループのルールを設定する必要があります。
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド方向
カスタマイズ
すべての IP:0.0.0.0/0
IPを指定:指定したIPまたはIPセグメントを入力します
TCP:23
許可

シナリオ5:HTTPまたはHTTPSを介してWebサービスへのアクセスを開く

事例:お客様がウェブサイトを構築し、ユーザーにHTTPまたはHTTPSを介してお客様が構築したウェブサイトにアクセスしてほしい場合。 解決策:HTTPまたはHTTPSを介してCVMにアクセスする必要がある場合は、セキュリティグループルールの追加 を行うときに、実際のニーズに応じて以下のセキュリティグループのルールを設定する必要があります。
パブリックネットワーク上のすべてのIPにこのウェブサイトへのアクセスを許可します
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド
HTTP(80)
0.0.0.0/0
TCP:80
許可
インバウンド
HTTPS(443)
0.0.0.0/0
TCP:443
許可
パブリックネットワークの一部のIPアドレスがこのウェブサイトへのアクセスを許可します。
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド
HTTP(80)
ウェブサイトへのアクセスが許可されているIPアドレスまたはIPアドレスセグメント
TCP:80
許可
インバウンド
HTTPS(443)
ウェブサイトへのアクセスが許可されているIPアドレスまたはIPアドレスセグメント
TCP:443
許可

シナリオ6:外部IPが指定ポートにアクセスすることを許可する

事例:業務をデプロイした後、指定されたサービスポート(例:1101)に外部からアクセスできるようにしたい場合。 解決策セキュリティグループルールの追加 を行うときに、「タイプ」で「カスタム」を選択し、プロトコルポート1101を開放して、指定された業務ポートへの外部アクセスを許可します。 また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、指定されたサービスポートのIPソースへのアクセスを許可することもできます。
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド
カスタマイズ
すべてのIP:0.0.0.0/0
IPを指定:指定したIPまたはIPセグメントを入力します
TCP:1101
許可

シナリオ7:外部IPアドレスから指定したポートへのアクセスを拒否する

事例:業務をデプロイした後、指定されたサービスポート(例:1102)に外部からアクセスされないようにしたい場合。 解決策セキュリティグループルールの追加 を行うときに、「タイプ」で「カスタム」を選択し、プロトコルポート1102を構成し、「ポリシー」を「拒否」に設定して、指定されたサービスポートへの外部アクセスを拒否します。
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド
カスタマイズ
すべてのIP:0.0.0.0/0
IPを指定:指定したIPまたはIPセグメントを入力します
TCP:1102
拒否

シナリオ8:CVMが特定の外部IPへのアクセスのみを許可

事例:CVMが特定の外部IPアドレスのみアクセスできるようにします。 ソリューション:以下の設定を参照し、次の2つのアウトバンドのセキュリティグループルールを追加します。
CVMインスタンスが特定の外部IPアドレスにアクセスできるようにします。
インスタンスが任意のプロトコルを介してパブリックIPアドレスにアクセスすることを禁止します。
ご注意:
アクセスを許可するルールは、アクセスを拒否するルールより優先する必要があります。
方向
タイプ
ソース
プロトコルポート
ポリシー
アウトバンド
カスタマイズ
CVMがアクセスできる特定のパブリックIPアドレス
必要なプロトコルとポート
許可
アウトバンド
カスタマイズ
0.0.0.0/0
ALL
拒否

シナリオ9:CVMが特定の外部IPにアクセスすることを拒否する

事例:CVMが外部の特定のIPアドレスにアクセスできないようにします。 解決策:次の構成を参照して、セキュリティグループルールを追加してください。
方向
タイプ
ソース
プロトコルポート
ポリシー
アウトバンド
カスタマイズ
インスタンスからのアクセスを拒否する特定のパブリックIPアドレス
ALL
拒否

シナリオ10:FTPを使用してファイルをアップロードまたはダウンロードする

事例:FTPソフトウェアを利用して、CVMにファイルをアップロードまたはダウンロードする場合。 解決策:次の構成を参照して、セキュリティグループルールを追加してください。
方向
タイプ
ソース
プロトコルポート
ポリシー
インバウンド
カスタマイズ
0.0.0.0/0
TCP:20-21
許可

複数シーンの組み合わせ

実際のシナリオでは、業務ニーズに応じて複数のセキュリティグループルールを設定する必要がある可能性があります。例えば、インバウンドルールまたはアウトバウンドルールを同時に設定します。CVM1台は、1つまたは複数のセキュリティグループにバインドできます。CVMが複数のセキュリティグループにバインドされている場合、複数のセキュリティグループが上から下に順番にマッチングが実行されます。セキュリティグループの優先度はいつでも変更できます。セキュリティグループルールの優先度の説明については、ルールの優先度の説明 をご参照ください。
前の記事へ: セキュリティグループルールのエクスポート次の記事へ: サーバーでよく使われるポート

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック