セキュリティグループルールの設定

  • セキュリティグループメニューは、ルールの数に対して課金されます。
  • ルールを作成すると課金が開始されます。

ここでは、セキュリティグループルールの操作方法を説明します。

  • セキュリティグループルールは、セキュリティグループ毎に管理されています。
  • 同じ内容のルールであっても、異なるセキュリティグループ間で共用することはできません。セキュリティグループ毎に記述してください。
  • セキュリティグループルールは編集できません。間違ったルールを設定した場合は削除して、正しいルールを追加してください。
  • ルールを設定した際の動作は、詳細情報- セキュリティグループ機能 をご覧ください。

セキュリティグループルールの表示

1.クラウド/サーバー ネットワークセキュリティ > セキュリティグループ メニュー をクリックすると、当該テナントに作成されているセキュリティグループの一覧が表示されます。

sg-rule-list

2.表示したいセキュリティグループ名を選択すると、「セキュリティグループの詳細」画面が表示されますので、「インバウンドルール」もしくは「アウトバウンドルール」タブをクリックします。

sg-rule-detail

「インバウンドルール」タブ、「アウトバウンドルール」タブには、このセキュリティグループに設定されているルールの一覧が表示されます。


セキュリティグループルールの作成

セキュリティグループに新しいセキュリティグループルールを作成します。 インバウンドルールの作成を前提にご説明します。

1.「インバウンドルール」を選択の上、右側にある「インバウンドルールの作成」ボタンを押下します。

  • タブ
    • インバウンドルール :インバウンドの通信を許可します
    • アウトバウンドルール :アウトバウンドの通信を許可します
sg-rule-create-1

2.ルールの作成画面が表示されます。

sg-rule-create-2

右側には、このセキュリティグループに設定されているルールの一覧が表示されます。


3.ルールの内容を記述していきます。

「説明」以外の項目は入力必須です。


  • 送信元(インバウンドルールの場合)/送信先(アウトバウンドルールの場合)

次の3つから選択します。選択するとテキストボックスが表示されますので、パラメーターを入力します。

<送信元/送信先> <パラメーター>
セキュリティグループ セキュリティグループ名を指定します
IPアドレス (インスタンス) テナント内のサーバーインスタンスのIPアドレスを指定します
IPアドレス (サブネット) テナント内のサブネットのIPアドレスを指定します
IPアドレス(カスタム) CIDR形式でIPアドレスを指定します

注釈

  • any(すべての送信元/送信先)を許可したい場合は、IPアドレス(サブネット)を選択してください。パラメーターボックスのプルダウンリストに「any(0.0.0.0/0)」が表示されますので選択してください。

  • タイプ

事前定義された選択肢を選択すると、その内容に応じて「プロトコル」「ポート範囲」が自動で入力されます。手動入力の場合「カスタム」を選択してください。

タイプ プロトコル ポート範囲
カスタム TCP, UDP, ICMP, ANY 0-65535
HTTP TCP 80
HTTPS TCP 443
SSH TCP 22
SMTP TCP 25
DNS(TCP) TCP 53
DNS(UDP) UDP 53

  • プロトコル

    • ICMP
    • TCP
    • UDP
    • ANY(すべてのプロトコルを許可)

    上記以外のプロトコルを設定したい場合は、APIでプロトコル番号を指定することによって設定可能です。


  • ポート範囲
    • 一つのポート番号を指定したい場合は、その数値を入力してください
    • ポート番号の範囲を指定したい場合は、0-65535 の形式で範囲を入力してください
    • 複数の範囲を指定することはできません

  • 説明
    • メモを入力することができます(半角255文字まで)

4.入力が完了したら、「インバウンドルールの作成」ボタンを押下します。

sg-rule-create-3

5.「セキュリティグループの詳細」画面のルールの一覧に、作成したルール行が追加されていることが確認できます。

sg-rule-create-4

セキュリティグループルールの削除

セキュリティグループのセキュリティグループルールを削除します。 インバウンドルールの削除を前提にご説明します。

1.「セキュリティグループの詳細」のルールの一覧画面で、削除したいルールのアクション列にある「インバウンドルールの削除」ボタンを押下します。

sg-rule-delete-1

2.確認画面が表示されます。取り消しはできませんので、ルールに間違いがないかよく確認の上、「インバウンドルールの削除」ボタンを押下します。

sg-rule-delete-2

3.「セキュリティグループの詳細」のルールの一覧画面に戻りますので、ルールが削除されていることを確認します。

sg-rule-delete-3

注釈

  • あらかじめ用意されているセキュリティグループ(permit-any/deny-ingress)のルールは削除できません。
  • 複数のルールをまとめて削除することはできません

<重要>NGルール

1.セキュリティグループは、同一ロジカルネットワーク上でのみ認識します。

ほかのロジカルネットワークにあるポートに適用したセキュリティグループを送信元/送信先に記述しても機能しません。

  • 設定することはでき、設定時にエラーも出ませんが、通信制御は行われませんのでご注意ください。
sg-rule-ng-1

2.テナント間接続をしているロジカルネットワークにセキュリティグループを適用したい場合、作成したテナント内のセキュリティグループのみしか選択できません。

sg-rule-ng-2