製品アップデート情報
製品に関するお知らせ
CLBセキュリティグループの設定
Cloud Load Balancer(CLB)を作成すると、CLBのセキュリティグループを設定してパブリックネットワークのトラフィックを分離することができるようになります。ここではさまざまな方式のCLBセキュリティグループの設定方法についてご説明します。
使用制限
各CLBは、最大5つのセキュリティグループをバインドできます。クォータを増やしたい場合は、クォータ管理に移動してクォータ申請を提出してください。
各セキュリティグループのルール数の上限は512件です。この上限とは、セキュリティグループに設定された受信トラフィックルール、送信トラフィックルール、およびバックエンドパラメータテンプレート(ipm/ipmg/ppm/ppmg)を展開した後のルールを含む、すべてのルール数の合計が512件を超えないことです。
リージョン間で2.0及びハイブリッドクラウドをバインドする場合、セキュリティグループのデフォルト許可がサポートされていません。バックエンドサーバーでClient IPとサービスポートを許可してください。
プライベートネットワークCLBがEIPにバインドされると、新しいCLB上のセキュリティグループは、EIPとプライベートネットワークCLBからのトラフィックに有効になります。既存CLB上のセキュリティグループは、EIPからのトラフィックには無効ですが、プライベートネットワークCLBからのトラフィックには有効です。既存のインスタンスがEIPからのトラフィックに有効である必要がある場合は、チケットを作成してください。
セキュリティグループのデフォルト許可は、同一VPC内のElastic Network Interface(ENI)またはCVMタイプのバックエンドサーバーに対してのみ有効です。PaaSサービス(例:CDB)をバックエンドサーバーとしてバインドする場合、セキュリティグループのデフォルト許可はサポートされていません。
クラシックプライベートネットワークCLBとクラシックネットワークベースCLBは、セキュリティグループをバインドできません。
クラシックプライベートネットワークCLBとクラシックネットワークベースCLBは、セキュリティグループのデフォルト許可をサポートしていません。
CPM 2.0は、セキュリティグループのデフォルト許可をサポートしていません。
背景情報
セキュリティグループとは一種の仮想ファイアウォールであり、ステートフルなデータパケットフィルタリング機能を有し、インスタンスレベルでのアウトバウンドおよびインバウンドトラフィックを制御します。詳細については、セキュリティグループの概要をご参照ください。
CLBセキュリティグループはCLBインスタンスにバインドするセキュリティグループであり、CVMセキュリティグループはCVMにバインドするセキュリティグループです。両者は制限の対象が異なります。CLBのセキュリティグループの設定には主に次の2種類の方式があります。
説明:
デフォルトの状態では、IPv4 CLB、NAT64セキュリティグループのデフォルト許可は無効になっています。コンソールで有効化/無効化を行うことができます。
デフォルトの状態では、IPv6 CLBセキュリティグループのデフォルト許可は有効になっており、無効化はできません。
セキュリティグループのデフォルト許可を有効にする
セキュリティグループのデフォルト許可を有効にすると、次のようになります。
固定のClient IPからのアクセスを指定したい場合、CLBセキュリティグループはClient IPとリスニングポートを許可する必要があり、バックエンドCVMのセキュリティグループはClient IPとサービスポートを許可する必要はありません。CLBからのアクセストラフィックはCLBのセキュリティグループのみを通過させればよく、バックエンドCVMはCLBからのトラフィックをデフォルトで許可します。バックエンドCVMはポートを外部に公開する必要はありません。
パブリックIP(一般的なパブリックIPとEIPを含む)からのトラフィックは、CVMのセキュリティグループを通過する必要があります。
CLBインスタンスにセキュリティグループを設定しない場合は、すべてのトラフィックが許可されます。CLBインスタンスのVIP上では、リスナーを設定したポートのみがアクセス可能なため、リスニングポートはすべてのIPのトラフィックを許可します。
あるClient IPからのトラフィックを拒否したい場合は、CLBのセキュリティグループでアクセスを拒否する必要があります。あるIPからのアクセスをCVMのセキュリティグループで拒否しても、CLBからのトラフィックに対しては有効にならず、パブリックIP(一般的なパブリックIPとEIPを含む)からのトラフィックに対してのみ有効になります。
セキュリティグループのデフォルト許可を無効にする
セキュリティグループのデフォルト許可を無効にすると、次のようになります。
固定のClient IPからのアクセスを指定したい場合、CLBセキュリティグループはClient IPとリスニングポートを許可する必要があり、バックエンドCVMのセキュリティグループもClient IPとサービスポートを許可する必要があります。すなわち、CLBを通過する業務トラフィックはCLBセキュリティグループとCVMセキュリティグループによる二重のチェックを受けることになります。
パブリックIP(一般的なパブリックIPとEIPを含む)からのトラフィックは、CVMのセキュリティグループを通過する必要があります。
CLBインスタンスにセキュリティグループを設定しない場合は、CVMセキュリティグループを通過したトラフィックのみを許可します。
あるClient IPからのトラフィックを拒否したい場合は、CLBかCVMのいずれかのセキュリティグループでアクセスを拒否することができます。
セキュリティグループのデフォルト許可を無効にしている場合は、ヘルスチェック機能を保障するため、CVMセキュリティグループに次の設定を行う必要があります。
1. パブリックネットワークCLBの設定
バックエンドCVMのセキュリティグループでCLBのVIPを許可する必要がある場合、CLBはVIPを使用してバックエンドCVMのヘルスステータスをチェックします。
2. プライベートネットワークCLBの設定
プライベートネットワークCLB(旧「アプリケーション型プライベートネットワークCLB」)については、CLBがVPCネットワークにある場合、 バックエンドCVMのセキュリティグループ上でCLBのVIP(ヘルスチェック用)を開放する必要があります。CLBが基幹ネットワークにある場合は、バックエンドCVMのセキュリティグループ上で設定を行う必要はなく、ヘルスチェックIPがデフォルトで開放されています。
操作手順
パブリックネットワークCLBのセキュリティグループ設定の例を次に示します。CLBではあらかじめ80番ポートからのインバウンド業務トラフィックのみを許可し、CVMの8080番ポートからサービスを提供するようにし、なおかつClient IPは制限せず、任意のIPからのアクセスをサポートしています。
ご注意:
この例ではパブリックネットワークCLBを使用しており、バックエンドCVMのセキュリティグループでCLBのVIPを許可してヘルスチェックを行う必要があります。現在の
0.0.0.0/0は任意のIPを意味し、CLBのVIPも含まれます。ステップ1:CLBおよびリスナーの作成とCVMのバインド
ステップ2:CLBセキュリティグループの設定
1. CLBセキュリティグループルールの設定 セキュリティグループコンソール 上でセキュリティグループルールを設定します。インバウンドルールですべてのIP(すなわち
0.0.0.0/0)の80番ポートを許可し、その他のポートからのトラフィックを拒否します。説明:
セキュリティグループルールは上から下の順にフィルタリングされて有効になるため、以前に設定した許可ルールが適用されると、その他のルールはデフォルトで拒否されますので、設定の順序に注意してください。詳細については、セキュリティグループルールの説明 をご参照ください。
セキュリティグループにはインバウンドルールとアウトバウンドルールがあり、上記の設定によって制限されるのはインバウンドトラフィックです。このため、設定はすべてインバウンドルールの設定であり、アウトバウンドルールは特に設定する必要はありません。
2. セキュリティグループのCLBへのバインド
2.1 CLBコンソールにログインします。
2.2 「インスタンス管理」ページで目的のCLBインスタンスを見つけ、インスタンスIDをクリックします。
2.3 インスタンス詳細ページで、【セキュリティグループ】タブをクリックし、「バインド済みのセキュリティグループ」モジュールで【バインド】をクリックします。
2.4 ポップアップした「セキュリティグループの設定」ウィンドウで、CLB上にバインドするセキュリティグループを選択し、【OK】をクリックします。
CLBセキュリティグループの設定が完了しました。CLBにアクセスするトラフィックは、80番ポートからのアクセスのみ許可されます。
ステップ3:セキュリティグループのデフォルト許可の設定
セキュリティグループのデフォルト許可は有効か無効かを選択することができます。それぞれを選択した場合の設定は次のようになります。
方法1:セキュリティグループのデフォルト許可を有効にした場合、バックエンドCVMはポートを外部に公開する必要はありません。
説明:
基幹ネットワークのCLBは、セキュリティグループのデフォルト許可機能をサポートしていません。
方法2:セキュリティグループのデフォルト許可を無効にした場合は、CVMのセキュリティグループでもClient IPを開放する必要があります(この例では0.0.0.0/0)。
方法1:セキュリティグループのデフォルト許可を有効にする
1. CLBコンソールにログインします。
2. 「インスタンス管理」ページで目的のCLBインスタンスを見つけ、インスタンスIDをクリックします。
3. インスタンス詳細ページで【セキュリティグループ】タブをクリックします。
4. 「セキュリティグループ」ページで
5. デフォルト許可機能を有効化すると、次のルールプレビューにあるセキュリティグループルールのみを検証します。
方法2:セキュリティグループのデフォルト許可を無効にする
デフォルト許可を無効化する場合は、CVMのセキュリティグループ上でもClient IPを許可する必要があります。CLBを介してCVMにアクセスする業務トラフィックは、CLBの80番ポートからのインバウンドのみを許可し、サービスはCVMの8080番ポートから提供されます。
説明:
あるClient IPからのトラフィックを許可するには、CLBとCVMの両方のセキュリティグループで許可する必要があります。CLBにセキュリティグループを設定していない場合は、CVM上のセキュリティグループの許可だけが必要です。
1. CVMセキュリティグループルールの設定
バックエンドCVMへのアクセストラフィックについて、CVMセキュリティグループを設定することで、サービスポートからのアクセスのみを許可するよう制限します。
セキュリティグループコンソール上でセキュリティグループポリシーを設定し、インバウンドルールですべてのIPの8080番ポートを許可します。リモートログインホストおよびPingサービスを保障するため、セキュリティグループでは22、3389およびICMPサービスを許可する必要があります。
2. セキュリティグループのCVMへのバインド
2.1 CVMコンソールで、CLBにバインドされたCVMのIDをクリックし、詳細ページに進みます。
2.2 【セキュリティグループ】タブを選択し、「バインド済みのセキュリティグループ」モジュールで【バインド】をクリックします。
2.3 ポップアップした「セキュリティグループの設定」ウィンドウで、CVM上にバインドするセキュリティグループを選択し、【OK】をクリックします。
フィードバック