6.1. セキュリティグループを設定する

セキュリティグループ操作の概要

セキュリティグループ を設定し、外部から仮想サーバーに対する通信を許可、制限します。
セキュリティグループの「受信規則」に、外部から受信したい通信を追加設定することで、当該セキュリティグループが設定された仮想サーバーに対する通信を許可することが可能となります。

注釈

セキュリティグループの「受信規則」はデフォルトdeny, つまり設定しない状態ではすべての通信を拒否し、 追加したルールの受診のみが許可されます。

セキュリティグループの「送信規則」はデフォルトallow, つまり設定しない状態ではすべての通信を許可します。 ただし、ルールを追加した場合には、設定したルールの通信のみが許可(デフォルトdeny)となります。

ご注意ください。

セキュリティグループの設定

以下、”Add by CIDR”機能を利用して、指定したIPからのアクセスを許可する手順を例に説明します。
左側メニューの「ネットワーク」をクリックし、ビューの選択のプルダウンから「セキュリティグループ」を選択します。
表示されるセキュリティグループ一覧から、設定するセキュリティグループをクリックします。
Computeコントロールパネル

セキュリティグループの選択

選択したセキュリティグループの「受信規則」タブをクリックし、
「プロトコル」、「開始ポート」、「終了ポート」、
(プロトコルをICMPに設定した場合は “ICMPタイプ”, “ICMPコード”)、
「CIDR」を編集し、「追加」をクリックすると、設定した通信が許可されるようになります。
Computeコントロールパネル

セキュリティグループの編集

注釈

CIDR(アクセス元IPアドレス)を制限せず、すべてのグローバルIPアドレスからのアクセスを許可する場合は、 「0.0.0.0/0」と入力してください。

当該IPアドレスへのping応答を設定する場合には、 「ICMPタイプ」の「8」、「ICMP」コード「0」と入力してください。

すべてのICMPパケットを許可する場合、ICMPの種類”-1”, ICMPコード”-1”をご使用ください。

なお、使用可能なプロトコル、ICMPコードについては、 iana Protocol Numbers を御覧ください。

注釈

Add by Account(自アカウントに対するセキュリティグループ送受信ルールの設定)が可能です。

  • アカウント

    • clnで始まるIDが右上にありますのでそちらをご入力ください
  • セキュリティグループ

    • ルールを設定するセキュリティグループ名をご入力ください

例えば、cln0000001というアカウントをご利用で、exampleというセキュリティグループに対し、 example2というセキュリティグループからの通信を許可する場合は以下の通りです。

  1. セキュリティグループの選択画面から、exampleを選択
  2. Add by Accountを選択
  3. プロトコル・開始ポートを入力し、アカウントにはcln0000001、セキュリティグループにはexample2を入力
  4. 追加ボタンを押す

以上の手順で、セキュリティグループexample2に所属する仮想サーバーよりexampleに所属する仮想サーバーへの 通信が許可されます。

注釈

仮想サーバーに対するIPアドレスの付与は、DHCPにより自動で行われます。 お客様側にて手動設定頂くことはできません。 このため、仮想サーバーのネットワークの設定に変更を加えるような操作 (アプリケーションのインストール時の自動設定を含む)を実施された場合、 仮想サーバーへIPアドレスが付与されなくなる場合がありますため、ご留意下さい。

  • 例: /etc/udev/rules.d/70-persistent-net.rules(CentOSの場合)

なお、IPアドレスは仮想サーバーを削除しない限り、変更されることはありません。

参考

Windows Serverをお使いの場合、ping応答を設定する場合にはWindows Firewallの設定が必要となります。

詳細は以下を御覧ください。

ICMP トラフィックを許可するパケット フィルターの構成

  • 新規で追加
  1. スタート → 管理ツール → セキュリティが強化された Windows ファイヤーウォール
  2. 受信の規則 → 画面左側のメニューより 「新しい規則」をクリック
  3. 規則の種類で 「カスタム」を選択して 次へ
  4. 「全てのプログラム」を選択して 次へ
  5. プロトコルの種類で▼をクリック、表示された一覧から「ICMPv4」を選択して次へ
  6. 許可するIPを絞る場合は、それぞれ該当IPアドレスを入力して次へ
  7. パブリック、プライベート等適応範囲を選択して完了
  • 既存の設定編集
  1. スタート → 管理ツール → セキュリティが強化された Windows ファイヤーウォール
  2. 受信の規則 → “ファイルとプリンターの共有 (エコー要求 - ICMPv4 受信)”を有効にする。

注釈

<セキュリティグループを複数利用した場合の動作>

送信・受信にかかわらず2つのセキュリティグループに分けて書いたルールと、1つのセキュリティグループにまとめてかいたルールは同義となります。

(例): SG-A, SG-Bという2つがあると仮定します。

  • SG-Aには192.0.2.2/32からPort 22への受信許可ルール
  • SG-Bには192.0.2.190/32からPort 22への受信許可ルール

があったとします。

この2つのセキュリティグループを重ねて利用した仮想サーバーの通信は以下の通りに許可されます

  • 受信: A/B両者の受信ルールが適用され、192.0.2.2/32, 192.0.2.190/32からPort22へのアクセスが許可される、それ以外の受信は「拒否」

上記のように、各セキュリティグループのルールを合わせた形のルールが適用されるようになります。