セキュリティグループ¶
メニューの概要¶
セキュリティグループメニューはサーバーインスタンスの仮想ファイアウォールとして機能し、設定した条件に基づいて受信トラフィック、送信トラフィックを制御できます。
セキュリティグループ毎に、セキュリティグループルールを作成することができ、通信制御の内容を設定できます。
ロジカルネットワークのポートをサーバーインスタンスに接続し、セキュリティグループを割り当てることで通信制御します。
作成したセキュリティグループは、そのセキュリティグループを作成したテナント内でのみ使用できます。
利用できる機能¶
機能一覧¶
本メニューにて利用できる機能は、次の表のとおりです。
項番 |
機能 |
概要 |
1 |
ポート単位で動作する仮想ファイアウォール機能を提供します。 |
|
2 |
セキュリティグループをロジカルネットワークのポートへ適用する機能を提供します。 |
|
3 |
セキュリティグループおよびセキュリティグループルールを管理する機能を提供します。 |
各機能の説明¶
1. セキュリティグループ機能¶
ロジカルネットワークのポートにステートフルファイアウォールの機能を提供します。
セキュリティグループにインバウンド、アウトバウンドのルールを追加することで、通信の制御が可能です。
許可ルールのみ設定可能です。拒否ルールは設定できません。
プロトコルとポート番号に基づいて通信をフィルタリングできます。
複数のルールが設定されている場合、いずれかのルールに合致すればその通信は許可されます。どのルールにも該当しない通信は破棄されます。
インバウンドルールはサーバーインスタンスが受信する通信、アウトバウンドルールはサーバーインスタンスから送信する通信です。
セキュリティグループはステートフルです。
サーバーインスタンスからリクエストを送信した場合、そのリクエストのレスポンス通信は、インバウンドのルールにかかわらず通過することができます。
許可されたインバウンド通信に対する応答(戻りの通信)は、アウトバウンドのルールにかかわらず通過することができます。
2. セキュリティグループのポートへの適用機能¶
セキュリティグループをロジカルネットワークのポートに適用する機能を提供します。
セキュリティグループの管理画面または、ロジカルネットワークのポートの作成/編集画面、サーバーインスタンスの作成/編集画面にて、ポートにセキュリティグループを適用することができます。
セキュリティグループは下記のリソースのポートに適用することができます。
適用可能なリソース |
• サーバーインスタンス
|
適用できないリソース |
• 上記以外のリソース(ベアメタルサーバー、ストレージメニュー、Managed Load Balancer、ロードバランサー(NetScaler VPX)、Managed Firewall/UTM/WAF など)
|
注釈
何にも接続していないポートにセキュリティグループを適用することは可能です。ただし、そのポートを「適用可能なリソース」以外のポートに接続することはできません。
3. セキュリティグループ管理機能¶
セキュリティグループおよびセキュリティグループルールを管理する機能を提供します。
項目 |
内容 |
|
セキュリティグループ |
作成 |
• セキュリティグループを新規作成できます。
• 作成時にセキュリティグループの名前、説明、タグの設定ができます。
|
詳細表示 |
• セキュリティグループの詳細を確認することができます。
• セキュリティグループをポートに適用することができます。
|
|
編集 |
• セキュリティグループを編集することができます。
• 編集時にセキュリティグループの名前、説明、タグの変更ができます。
|
|
削除 |
• セキュリティグループを削除することができます。
- 一度削除されたセキュリティグループを元に戻すことはできません。
- セキュリティグループを削除すると、それに紐付くセキュリティグループルールも削除されます。
|
|
セキュリティグループルール |
追加 |
• セキュリティグループにセキュリティグループルールを追加することができます。
• 追加時に、以下の項目を設定できます。
- 送信元 / 送信先(セキュリティグループ / IPアドレス(インスタンス / サブネット/ カスタム))
- タイプ
- プロトコル
- ポート番号(範囲指定可)
- 説明
|
削除 |
• セキュリティグループルールを削除することができます。
- 一度削除されたセキュリティグループルールを元に戻すことはできません。
|
注釈
- セキュリティグループルールは編集できません。編集したい場合は、削除・追加を行ってください。削除したルールと新しく追加したルールは別のルールとして課金計算されます。
- セキュリティグループルールの送信元 / 送信先にセキュリティグループ名を設定した場合、同一ロジカルネットワークにある送信元 / 送信先のみが通信制御の対象となります。詳しくは NGルール をご覧ください。
デフォルト設定¶
テナントにあらかじめ用意されているセキュリティグループ¶
本メニューの提供リージョンの全てのテナントにおいて、作成時にデフォルトで下記のセキュリティグループが用意されています。
あらかじめ用意されているセキュリティグループを編集/削除はできません。また、セキュリティグループルールの追加/削除をすることはできません。
あらかじめ用意されているセキュリティグループに属するセキュリティグループルールには課金されません。
セキュリティ グループ名 |
セキュリティグループルール |
編集可不可 |
課金有無 |
備考 |
||||
Direction |
Remote IP Prefix |
Remote Security Group |
Port Range |
Protocol |
||||
permit-any |
Inbound |
any |
- |
any |
any |
不可 |
無 |
インバウンド/アウトバウンド ともにすべて許可 |
Outbound |
any |
- |
any |
any |
無 |
|||
deny-ingress |
Outbound |
any |
- |
any |
any |
不可 |
無 |
インバウンドをすべて拒否/ アウトバウンドをすべて許可 |
注釈
- あらかじめ用意されているセキュリティグループ「deny-ingress」を、サーバーインスタンス作成時に適用することはできません。
デフォルトで適用されるセキュリティグループ¶
本メニューの提供リージョンの全てのテナントにおいて、すべてのポートにデフォルトで下記のセキュリティグループが適用されています。そのため、全ての通信が許可されています。
セキュリティ グループ名 |
セキュリティグループルール |
備考 |
||||
Direction |
Remote IP Prefix |
Remote Security Group |
Port Range |
Protocol |
||
permit-any |
Inbound |
any |
- |
any |
any |
インバウンド/アウトバウンド ともにすべて許可 |
Outbound |
any |
- |
any |
any |
||
セキュリティグループ[permit-any]が適用されているポートの一覧には、本サービスの「適用可能なリソース」および「何にも接続されていないポート」以外は表示されません。
セキュリティグループを新規作成したときのセキュリティグループルール¶
セキュリティグループを新規作成した初期状態では、セキュリティグループにはセキュリティグループルールは含まれていません。
注釈
- ポートからデフォルトで適用されている[permit-any]のセキュリティグループを外し、お客様が作成したセキュリティグループを割り当てた場合、そのセキュリティグループにセキュリティグループルールが追加されるまで全ての通信が破棄されます。
サービスプラン¶
申し込み方法¶
Smart Data Platform をご契約いただいたお客さまは、本メニューを申し込むことが可能です。 申し込み種別、申し込み方法、納期は、次の通りです。
申し込み種別 |
申し込み方法 |
納期 |
セキュリティグループの新規作成 |
カスタマーポータル / API経由で、お客さま自身の操作により申し込み |
即時 |
セキュリティグループの削除 |
カスタマーポータル / API経由で、お客さま自身の操作により申し込み |
即時 |
セキュリティグループルールの追加 |
カスタマーポータル / API経由で、お客さま自身の操作により申し込み |
即時 |
セキュリティグループルールの削除 |
カスタマーポータル / API経由で、お客さま自身の操作により申し込み |
即時 |
注釈
セキュリティグループルールの追加を実施するとセキュリティグループルールごとに課金が開始されます。
セキュリティグループがポートに適用されていなくても、課金されます。
申込み時の注意点¶
セキュリティグループの各種申し込みの上限数は次の通りです。
制限設定単位 |
申し込み項目 |
上限数 |
テナントあたり |
セキュリティグループ |
50 |
ポートあたり |
セキュリティグループ |
10 |
セキュリティグループあたり |
セキュリティグループルール |
20 |
ご利用条件¶
他メニューとの組み合わせ条件¶
本メニューは、以下のメニューと合わせてご利用いただくことを前提としています
ロジカルネットワーク
サーバーインスタンス
注釈
上記以外のメニューのリソースに対してセキュリティグループを適用することはできません。
例)ベアメタルサーバー、ストレージメニュー、Managed Load Balancer、ロードバランサー(NetScaler VPX)、Managed Firewall/UTM/WAF など
料金¶
月額費用¶
本メニューは、月ごとに利用料金を請求いたします。
セキュリティグループルール単位で課金いたします。
セキュリティグループルール毎に、ルールを作成してから削除されるまでの時間(利用時間)を分単位(秒で計測し端数は切り上げ)で計測し、利用量料金の単価を乗算することによって月額料金を算出します。ルール毎の切り上げ計算であるため、ご請求額が単価に利用量(総時間)を乗じた値より大きくなる場合があることをご理解ください。
ルール毎の利用量料金の単価および月額上限金額は、プランと料金 をご覧ください。
料金明細には、ユニークなルール数の合計、利用時間の合計、およびルール毎の月額金額の合計金額が表示されます。ルール毎の利用時間や月額金額は、明細には表示されません。予めご了承ください。
メニュー提供の品質¶
サポート範囲¶
本メニューでは サポート - ベーシックプラン として、次の範囲のサポートを提供いたします。
以下の範囲を対象とするメニュー仕様・設定方法、利用不可・性能劣化などに関するお問い合わせ
セキュリティグループリソース
API , コントロールパネル
また Professional Support Services - 運用支援 (ベーシックプラスプラン) をご利用のお客さまに限り、上記に加え、時間(24H365D)と手段(コールバック電話)を拡張してサポートを提供いたします。
運用¶
本メニューの運用品質は、Smart Data Platform クラウド/サーバーに標準で定められた運用品質に準じます。詳細については、 Support-詳細情報 を参照ください。
制約事項¶
セキュリティグループルールの送信元 / 送信先にセキュリティグループを設定した場合、同一ロジカルネットワークにある送信元 / 送信先のみが通信制御の対象となります。
作成したセキュリティグループは、そのセキュリティグループを作成したテナント内でのみ使用できます。テナント間接続によりロジカルネットワークが複数のテナントにまたがっている場合、当該セキュリティグループを作成したテナントのみで使用できます。
SDPF クラウド/サーバー セキュリティグループでは、API操作によりセキュリティグループルールにおいてIPv6に関する設定が可能となっておりますが、SDPF クラウド/サーバーにおいてIPv6の動作はサポートしておらず、セキュリティグループメニューでも同様にIPv6に関する設定/動作はサポートしておりません。