セキュリティグループ¶
メニューの概要¶
セキュリティグループメニューはサーバーインスタンスの仮想ファイアウォールとして機能し、設定した条件に基づいて受信トラフィック、送信トラフィックを制御できます。
- セキュリティグループ毎に、セキュリティグループルールを作成することができ、通信制御の内容を設定できます。
- ロジカルネットワークのポートをサーバーインスタンスに接続し、セキュリティグループを割り当てることで通信制御します。
- 作成したセキュリティグループは、そのセキュリティグループを作成したテナント内でのみ使用できます。
利用できる機能¶
機能一覧¶
本メニューにて利用できる機能は、次の表のとおりです。
| 項番 | 機能 | 概要 |
| 1 | セキュリティグループ機能 | ポート単位で動作する仮想ファイアウォール機能を提供します。 |
| 2 | セキュリティグループのポートへの適用機能 | セキュリティグループをロジカルネットワークのポートへ適用する機能を提供します。 |
| 3 | セキュリティグループ管理機能 | セキュリティグループおよびセキュリティグループルールを管理する機能を提供します。 |
各機能の説明¶
1. セキュリティグループ機能¶
- ロジカルネットワークのポートにステートフルファイアウォールの機能を提供します。
- セキュリティグループにインバウンド、アウトバウンドのルールを追加することで、通信の制御が可能です。
- 許可ルールのみ設定可能です。拒否ルールは設定できません。
- プロトコルとポート番号に基づいて通信をフィルタリングできます。
- 複数のルールが設定されている場合、いずれかのルールに合致すればその通信は許可されます。どのルールにも該当しない通信は破棄されます。
- インバウンドルールはサーバーインスタンスが受信する通信、アウトバウンドルールはサーバーインスタンスから送信する通信です。
- セキュリティグループはステートフルです。
- サーバーインスタンスからリクエストを送信した場合、そのリクエストのレスポンス通信は、インバウンドのルールにかかわらず通過することができます。
- 許可されたインバウンド通信に対する応答(戻りの通信)は、アウトバウンドのルールにかかわらず通過することができます。
2. セキュリティグループのポートへの適用機能¶
- セキュリティグループをロジカルネットワークのポートに適用する機能を提供します。
- セキュリティグループの管理画面または、ロジカルネットワークのポートの作成/編集画面、サーバーインスタンスの作成/編集画面にて、ポートにセキュリティグループを適用することができます。
- セキュリティグループは下記のリソースのポートに適用することができます。
| 適用可能なリソース | • サーバーインスタンス
|
| 適用できないリソース | • 上記以外のリソース(ベアメタルサーバー、ストレージメニュー、Managed Load Balancer、ロードバランサー(NetScaler VPX)、Managed Firewall/UTM/WAF など)
|
注釈
- 何にも接続していないポートにセキュリティグループを適用することは可能です。ただし、そのポートを「適用可能なリソース」以外のポートに接続することはできません。
3. セキュリティグループ管理機能¶
- セキュリティグループおよびセキュリティグループルールを管理する機能を提供します。
| 項目 | 内容 | |
| セキュリティグループ | 作成 | • セキュリティグループを新規作成できます。
• 作成時にセキュリティグループの名前、説明、タグの設定ができます。
|
| 詳細表示 | • セキュリティグループの詳細を確認することができます。
• セキュリティグループをポートに適用することができます。
|
|
| 編集 | • セキュリティグループを編集することができます。
• 編集時にセキュリティグループの名前、説明、タグの変更ができます。
|
|
| 削除 | • セキュリティグループを削除することができます。
- 一度削除されたセキュリティグループを元に戻すことはできません。
- セキュリティグループを削除すると、それに紐付くセキュリティグループルールも削除されます。
|
|
| セキュリティグループルール | 追加 | • セキュリティグループにセキュリティグループルールを追加することができます。
• 追加時に、以下の項目を設定できます。
- 送信元 / 送信先(セキュリティグループ / IPアドレス(インスタンス / サブネット/ カスタム))
- タイプ
- プロトコル
- ポート番号(範囲指定可)
- 説明
|
| 削除 | • セキュリティグループルールを削除することができます。
- 一度削除されたセキュリティグループルールを元に戻すことはできません。
|
注釈
- セキュリティグループルールは編集できません。編集したい場合は、削除・追加を行ってください。削除したルールと新しく追加したルールは別のルールとして課金計算されます。
- セキュリティグループルールの送信元 / 送信先にセキュリティグループ名を設定した場合、同一ロジカルネットワークにある送信元 / 送信先のみが通信制御の対象となります。詳しくは NGルール をご覧ください。
デフォルト設定¶
テナントにあらかじめ用意されているセキュリティグループ¶
本メニューの提供リージョンの全てのテナントにおいて、作成時にデフォルトで下記のセキュリティグループが用意されています。
- あらかじめ用意されているセキュリティグループを編集/削除はできません。また、セキュリティグループルールの追加/削除をすることはできません。
- あらかじめ用意されているセキュリティグループに属するセキュリティグループルールには課金されません。
| セキュリティ グループ名 | セキュリティグループルール | 編集可不可 | 課金有無 | 備考 | ||||
| Direction | Remote IP Prefix | Remote Security Group | Port Range | Protocol | ||||
| permit-any | Inbound | any | - | any | any | 不可 | 無 | インバウンド/アウトバウンド ともにすべて許可 |
| Outbound | any | - | any | any | 無 | |||
| deny-ingress | Outbound | any | - | any | any | 不可 | 無 | インバウンドをすべて拒否/ アウトバウンドをすべて許可 |
注釈
- あらかじめ用意されているセキュリティグループ「deny-ingress」を、サーバーインスタンス作成時に適用することはできません。
デフォルトで適用されるセキュリティグループ¶
本メニューの提供リージョンの全てのテナントにおいて、すべてのポートにデフォルトで下記のセキュリティグループが適用されています。そのため、全ての通信が許可されています。
| セキュリティ グループ名 | セキュリティグループルール | 備考 | ||||
| Direction | Remote IP Prefix | Remote Security Group | Port Range | Protocol | ||
| permit-any | Inbound | any | - | any | any | インバウンド/アウトバウンド ともにすべて許可 |
| Outbound | any | - | any | any | ||
- セキュリティグループ[permit-any]が適用されているポートの一覧には、本サービスの「適用可能なリソース」および「何にも接続されていないポート」以外は表示されません。
セキュリティグループを新規作成したときのセキュリティグループルール¶
- セキュリティグループを新規作成した初期状態では、セキュリティグループにはセキュリティグループルールは含まれていません。
注釈
- ポートからデフォルトで適用されている[permit-any]のセキュリティグループを外し、お客様が作成したセキュリティグループを割り当てた場合、そのセキュリティグループにセキュリティグループルールが追加されるまで全ての通信が破棄されます。
サービスプラン¶
申し込み方法¶
Smart Data Platform をご契約いただいたお客さまは、本メニューを申し込むことが可能です。 申し込み種別、申し込み方法、納期は、次の通りです。
| 申し込み種別 | 申し込み方法 | 納期 |
| セキュリティグループの新規作成 | カスタマーポータル / API経由で、お客さま自身の操作により申し込み | 即時 |
| セキュリティグループの削除 | カスタマーポータル / API経由で、お客さま自身の操作により申し込み | 即時 |
| セキュリティグループルールの追加 | カスタマーポータル / API経由で、お客さま自身の操作により申し込み | 即時 |
| セキュリティグループルールの削除 | カスタマーポータル / API経由で、お客さま自身の操作により申し込み | 即時 |
注釈
- セキュリティグループルールの追加を実施するとセキュリティグループルールごとに課金が開始されます。
- セキュリティグループがポートに適用されていなくても、課金されます。
申込み時の注意点¶
- セキュリティグループの各種申し込みの上限数は次の通りです。
| 制限設定単位 | 申し込み項目 | 上限数 |
| テナントあたり | セキュリティグループ | 50 |
| ポートあたり | セキュリティグループ | 10 |
| セキュリティグループあたり | セキュリティグループルール | 20 |
ご利用条件¶
他メニューとの組み合わせ条件¶
- 本メニューは、以下のメニューと合わせてご利用いただくことを前提としています
- ロジカルネットワーク
- サーバーインスタンス
注釈
- 上記以外のメニューのリソースに対してセキュリティグループを適用することはできません。
例)ベアメタルサーバー、ストレージメニュー、Managed Load Balancer、ロードバランサー(NetScaler VPX)、Managed Firewall/UTM/WAF など
料金¶
月額費用¶
- 本メニューは、月ごとに利用料金を請求いたします。
- セキュリティグループルール単位で課金いたします。
- セキュリティグループルール毎に、ルールを作成してから削除されるまでの時間(利用時間)を分単位(秒で計測し端数は切り上げ)で計測し、利用量料金の単価を乗算することによって月額料金を算出します。ルール毎の切り上げ計算であるため、ご請求額が単価に利用量(総時間)を乗じた値より大きくなる場合があることをご理解ください。
- ルール毎の利用量料金の単価および月額上限金額は、プランと料金 をご覧ください。
- 料金明細には、ユニークなルール数の合計、利用時間の合計、およびルール毎の月額金額の合計金額が表示されます。ルール毎の利用時間や月額金額は、明細には表示されません。予めご了承ください。
メニュー提供の品質¶
サポート範囲¶
本メニューでは サポート - ベーシックプラン として、次の範囲のサポートを提供いたします。
- 以下の範囲を対象とするメニュー仕様・設定方法、利用不可・性能劣化などに関するお問い合わせ
- セキュリティグループリソース
- API , コントロールパネル
また Professional Support Services - 運用支援 (ベーシックプラスプラン) をご利用のお客さまに限り、上記に加え、時間(24H365D)と手段(コールバック電話)を拡張してサポートを提供いたします。
なお、サポート - ベーシックプラン , Professional Support Services - 運用支援 (ベーシックプラスプラン) では、具体的なシステム構成・パラメーター作成など導入に関するサポートはいたしておりません。
運用¶
- 本メニューの運用品質は、Smart Data Platform クラウド/サーバーに標準で定められた運用品質に準じます。詳細については、 Support-詳細情報 を参照ください。
制約事項¶
- セキュリティグループルールの送信元 / 送信先にセキュリティグループを設定した場合、同一ロジカルネットワークにある送信元 / 送信先のみが通信制御の対象となります。
- 作成したセキュリティグループは、そのセキュリティグループを作成したテナント内でのみ使用できます。テナント間接続によりロジカルネットワークが複数のテナントにまたがっている場合、当該セキュリティグループを作成したテナントのみで使用できます。
- SDPF クラウド/サーバー セキュリティグループでは、API操作によりセキュリティグループルールにおいてIPv6に関する設定が可能となっておりますが、SDPF クラウド/サーバーにおいてIPv6の動作はサポートしておらず、セキュリティグループメニューでも同様にIPv6に関する設定/動作はサポートしておりません。