セキュリティグループルールの設定

  • セキュリティグループメニューは、ルールの数に対して課金されます。

  • ルールを作成すると課金が開始されます。


ここでは、セキュリティグループルールの操作方法を説明します。

  • セキュリティグループルールは、セキュリティグループ毎に管理されています。

  • 同じ内容のルールであっても、異なるセキュリティグループ間で共用することはできません。セキュリティグループ毎に記述してください。

  • セキュリティグループルールは編集できません。間違ったルールを設定した場合は削除して、正しいルールを追加してください。

  • ルールを設定した際の動作は、詳細情報- セキュリティグループ機能 をご覧ください。


セキュリティグループルールの表示

1.クラウド/サーバー ネットワークセキュリティ > セキュリティグループ メニュー をクリックすると、当該テナントに作成されているセキュリティグループの一覧が表示されます。

sg-rule-list

2.表示したいセキュリティグループ名を選択すると、「セキュリティグループの詳細」画面が表示されますので、「インバウンドルール」もしくは「アウトバウンドルール」タブをクリックします。

sg-rule-detail

「インバウンドルール」タブ、「アウトバウンドルール」タブには、このセキュリティグループに設定されているルールの一覧が表示されます。


セキュリティグループルールの作成

セキュリティグループに新しいセキュリティグループルールを作成します。 インバウンドルールの作成を前提にご説明します。

1.「インバウンドルール」を選択の上、右側にある「インバウンドルールの作成」ボタンを押下します。

  • タブ

    • インバウンドルール :インバウンドの通信を許可します

    • アウトバウンドルール :アウトバウンドの通信を許可します

sg-rule-create-1

2.ルールの作成画面が表示されます。

sg-rule-create-2

右側には、このセキュリティグループに設定されているルールの一覧が表示されます。


3.ルールの内容を記述していきます。

「説明」以外の項目は入力必須です。


  • 送信元(インバウンドルールの場合)/送信先(アウトバウンドルールの場合)

次の3つから選択します。選択するとテキストボックスが表示されますので、パラメーターを入力します。

<送信元/送信先>

<パラメーター>

セキュリティグループ

セキュリティグループ名を指定します

IPアドレス (インスタンス)

テナント内のサーバーインスタンスのIPアドレスを指定します

IPアドレス (サブネット)

テナント内のサブネットのIPアドレスを指定します

IPアドレス(カスタム)

CIDR形式でIPアドレスを指定します

注釈

  • any(すべての送信元/送信先)を許可したい場合は、IPアドレス(サブネット)を選択してください。パラメーターボックスのプルダウンリストに「any(0.0.0.0/0)」が表示されますので選択してください。


  • タイプ

事前定義された選択肢を選択すると、その内容に応じて「プロトコル」「ポート範囲」が自動で入力されます。手動入力の場合「カスタム」を選択してください。

タイプ

プロトコル

ポート範囲

カスタム

TCP, UDP, ICMP, ANY

0-65535

HTTP

TCP

80

HTTPS

TCP

443

SSH

TCP

22

SMTP

TCP

25

DNS(TCP)

TCP

53

DNS(UDP)

UDP

53

  • プロトコル

    • ICMP

    • TCP

    • UDP

    • ANY(すべてのプロトコルを許可)

    上記以外のプロトコルを設定したい場合は、APIでプロトコル番号を指定することによって設定可能です。APIでICMP/TCP/UDP/ANY以外のプロトコルを設定する場合は、プロトコル名ではなく必ずプロトコル番号を指定してください。


  • ポート範囲

    • 一つのポート番号を指定したい場合は、その数値を入力してください

    • ポート番号の範囲を指定したい場合は、0-65535 の形式で範囲を入力してください

    • 複数の範囲を指定することはできません


  • 説明

    • メモを入力することができます(半角255文字まで)


4.入力が完了したら、「インバウンドルールの作成」ボタンを押下します。

sg-rule-create-3

5.「セキュリティグループの詳細」画面のルールの一覧に、作成したルール行が追加されていることが確認できます。

sg-rule-create-4

セキュリティグループルールの削除

セキュリティグループのセキュリティグループルールを削除します。 インバウンドルールの削除を前提にご説明します。

1.「セキュリティグループの詳細」のルールの一覧画面で、削除したいルールのアクション列にある「インバウンドルールの削除」ボタンを押下します。

sg-rule-delete-1

2.確認画面が表示されます。取り消しはできませんので、ルールに間違いがないかよく確認の上、「インバウンドルールの削除」ボタンを押下します。

sg-rule-delete-2

3.「セキュリティグループの詳細」のルールの一覧画面に戻りますので、ルールが削除されていることを確認します。

sg-rule-delete-3

注釈

  • あらかじめ用意されているセキュリティグループ(permit-any/deny-ingress)のルールは削除できません。

  • 複数のルールをまとめて削除することはできません


<重要>NGルール

1.セキュリティグループは、同一ロジカルネットワーク上でのみ認識します。

ほかのロジカルネットワークにあるポートに適用したセキュリティグループを送信元/送信先に記述しても機能しません。

  • 設定することはでき、設定時にエラーも出ませんが、通信制御は行われませんのでご注意ください。

sg-rule-ng-1

2.テナント間接続をしているロジカルネットワークにセキュリティグループを適用したい場合、作成したテナント内のセキュリティグループのみしか選択できません。

sg-rule-ng-2
セキュリティグループのポートへの適用
セキュリティグループ クイックスタートガイド