セキュリティーグループ
セキュリティーグループ
Compute Dでは、一連のファイアウォールルールをセキュリティーグループとしてまとめ、それをインスタンスに適用することでファイアウォールを設定します。これにより、インスタンスごとにファイアウォールの許可ルールを1つ1つ設定することなく、用途ごとに簡単に設定を適用できます。※ 初期から存在する「default」セキュリティーグループに接続許可ルールを追加することは非推奨としています。「default」セキュリティーグループは、インスタンスやポートの作成時において、セキュリティーグループを指定しなかった場合に自動的に割り当てられる設定です。この時「default」セキュリティーグループに接続許可ルールが設定されていると、意図しない接続許可ルールが反映されてしまう危険性があります。本手順のように、用途ごとにセキュリティーグループを作成して運用することを推奨します。
| 番号 | 項目名 | 説明 |
|---|---|---|
| 1 | セキュリティーグループの作成 | 「セキュリティーグループの作成」ダイアログを開き、新規セキュリティーグループを作成します。 セキュリティーグループ数が上限に達している場合は追加できません。 |
| 2 | セキュリティーグループの削除 | 「セキュリティーグループの削除の確認」ダイアログを開き、セキュリティーグループ一覧でチェックを入れたセキュリティーグループを一括で削除します。 |
| 3 | セキュリティーグループ一覧 | 作成済みのセキュリティーグループが一覧で表示されます。 |
セキュリティーグループ一覧
セキュリティーグループ一覧では作成済みのセキュリティーグループが詳細情報とともに一覧表示されます。
| 番号 | 項目名 | 説明 |
|---|---|---|
| 1 | チェックボックス | セキュリティーグループの削除を一括で行う際、その対象を指定するためのチェックボックスです。 ヘッダーのチェックボックスをクリックすると、表示されているセキュリティーグループの全選択および全選択解除をすることができます。 |
| 2 | セキュリティーグループ名 (Name) | セキュリティーグループ名です。 |
| 3 | セキュリティーグループ ID (Security Group ID) | セキュリティーグループの ID です。 |
| 4 | 説明 (Description) | セキュリティーグループの説明文です。 |
| 5 | 操作 (Actions) | セキュリティーグループのファイアウォールルールの管理やセキュリティーグループの編集・削除や設定などの項目をプルダウンで選択して実行することができます。 |
セキュリティーグループの操作
セキュリティーグループに実行可能な操作は以下の通りです。ただし「default」のセキュリティーグループの編集・削除はできません。
| 項目名 | 説明 |
|---|---|
| ルールの管理 | 「セキュリティーグループのルール管理」画面を開き、セキュリティーグループのルールを設定します。 |
| セキュリティーグループの編集 | 「セキュリティーグループの編集」ダイアログを開き、セキュリティーグループの情報を編集します。 |
| セキュリティーグループの削除 | 「セキュリティーグループの削除の確認」ダイアログを開き、セキュリティーグループを削除します。 |
「セキュリティーグループのルール管理」画面
セキュリティーグループ一覧で「ルールの管理」をクリックすると表示される、セキュリティーグループのファイアウォールルールの設定画面です。
| 番号 | 項目名 | 説明 |
|---|---|---|
| 1 | ルールの追加 | 「ルールの追加」ダイアログを開き、ルールを追加します。 |
| 2 | ルールの削除 | 「ルールの削除の確認」ダイアログを開き、ルール一覧でチェックを入れたルールを一括で削除します。 |
| 3 | ルール一覧 | セキュリティーグループに設定されているルールの一覧です。 |
「セキュリティーグループの作成」ダイアログ
「セキュリティーグループの作成」をクリックすると、「セキュリティーグループの作成」ダイアログが開きます。入力・設定が完了したら右下の「セキュリティーグループの作成」をクリックします。
| 番号 | 項目名 | 説明 |
|---|---|---|
| 1 | 名前 | セキュリティーグループ名を入力します。 |
| 2 | 説明 | セキュリティーグループの説明文を入力します。 |
ルール一覧
ルール一覧ではセキュリティーグループに設定されているファイアウォールの許可ルールが詳細情報とともに一覧表示されます。許可ルールの接続先は IP アドレスまたは適用されているセキュリティーグループで指定することができます。
デフォルトではすべての送信が許可されており、受信はすべて拒否されています。「ルールの追加」により、許可ルールのみ追加することができます。
※デフォルトの送信許可ルールを削除し、最低限の送信許可ルールのみ設定したい場合は、追加でメタデータサーバー(IP アドレス 169.254.169.254/32)への HTTP 通信(80番ポート)を許可してください。
| 番号 | 項目名 | 説明 |
|---|---|---|
| 1 | チェックボックス | ルールの削除を一括で行う際、その対象を指定するためのチェックボックスです。 ヘッダーのチェックボックスをクリックすると、表示されているルールの全選択および全選択解除をすることができます。 |
| 2 | 通信方向 (Direction) | ルールが許可する通信の方向です。 インスタンスへの通信(受信)を許可するルール(インバウンドルール)と、インスタンスからの通信(送信)を許可するルール(アウトバウンドルール)の2種類があります。 |
| 3 | イーサタイプ (Ether Type) | 許可する通信のイーサタイプ(IPv4 や IPv6 など)です。 |
| 4 | IP プロトコル (IP Protocol) | 許可する通信の IP プロトコル(TCP など)です。 |
| 5 | ポート範囲 (Port Range) | 許可する通信のポート番号(およびその該当プロトコル名)です。 |
| 6 | 接続先 IP (Remote IP Prefix) | 許可する通信の接続先の IP アドレス(CIDR 形式)です(IP アドレスにより指定した場合のみ)。 |
| 7 | 接続先セキュリティーグループ (Remote Security Group) | 許可する通信の接続先のセキュリティーグループが表示されます(セキュリティーグループにより指定した場合のみ)。 |
| 8 | 説明 (Description) | ルールの説明文です。 |
| 9 | ルールの削除 | 「ルールの削除の確認」ダイアログを開き、ルールを削除します。 |
ルールの追加ダイアログ
「ルールの追加」をクリックすると、「ルールの追加」ダイアログが開きます。入力・設定が完了したら右下の「追加」をクリックします。
| 番号 | 項目名 | 説明 | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | ルール | ルールを設定する通信方式を選択します。 選択可能な項目は以下の通りです。
|
||||||||||||||||||
| 2 | 説明 | ルールの説明文を入力します。 | ||||||||||||||||||
| 3 | 方向 | 制御する通信の方向を選択します。 選択可能な項目は以下の通りです。
|
||||||||||||||||||
| 4 | 開放するポート | 開放するポートの選択方法(ポート、ポート範囲、すべてのポート)を選択します。 ※「ルール」で一部のルールを選択した場合のみ表示されます。 |
||||||||||||||||||
| 5 | ポート / ポート番号 (下限 / 上限) | 開放するポートまたはその範囲を1~65535の整数値で入力します。 ※「ルール」で一部のルールを選択した場合のみ表示されます。 |
||||||||||||||||||
| 種別 | 通信を許可する ICMP タイプを-1~255の整数値で入力します。 ※-1はすべての ICMP タイプを指定します。 ※「ルール」で ICMP 関連ルールを選択した場合のみ表示されます。 |
|||||||||||||||||||
| コード | 通信を許可する ICMP コードを-1~255の整数値で入力します。 ※-1はすべての ICMP コードを指定します。 ※「ルール」で ICMP 関連ルールを選択した場合のみ表示されます。 |
|||||||||||||||||||
| IP プロトコル | 通信を許可する IP プロトコルを-1~255の整数値で入力します。 ※-1はすべての IP プロトコルを指定します。 ※「ルール」で「その他のプロトコル」を選択した場合のみ表示されます。 |
|||||||||||||||||||
| 6 | 接続相手 | 通信を許可する接続先の指定方法を選択します。 IP アドレスを CIDR 形式で指定するか、適用されているセキュリティーグループを指定するかのどちらかが選択できます。 ※セキュリティーグループによる指定は非推奨です。 |
||||||||||||||||||
| 7 | CIDR / セキュリティーグループ | 通信を許可する接続先の IP アドレス(CIDR 形式)を入力、またはセキュリティーグループを選択します。 ※「0.0.0.0/0」を入力しての全開放はしないでください。 |
||||||||||||||||||
| Ethernet タイプ | 許可する通信のイーサタイプ(IPv4 や IPv6 など)を選択します。 ※Compute DではIPv4のみ使用可能です。 ※「接続相手」で「セキュリティーグループ」を選択した場合のみ表示されます。 |