Oracle Cloud Infrastructureドキュメント

NSGの作成

仮想クラウド・ネットワーク(VCN)にネットワーク・セキュリティ・グループ(NSG)を作成します。

各VCNには、基本的な接続を可能にするデフォルトのセキュリティ・ルールが含まれるデフォルト・セキュリティ・リストが付属しています。ただし、VCNにはデフォルトのNSGはありません。

NSGを作成すると、セキュリティ・ルールやVNICなしで最初は空になります。コンソールを使用している場合は、作成中にセキュリティ・ルールをNSGに追加できます。セキュリティ・ルールの一部について理解します。

オプションで、作成時にNSGにわかりやすい名前を割り当てることができます。名前は一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をNSGに自動的に割り当てます。詳細は、リソース識別子を参照してください。

アクセス制御の目的のために、NSGを配置するコンパートメントを指定する必要があります。使用するコンパートメントが不明な場合は、組織の管理者に連絡してください。詳細は、アクセス制御を参照してください。

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 目的のVCNの名前をクリックします。
    3. 「リソース」で、「ネットワーク・セキュリティ・グループ」をクリックします。
    4. 「ネットワーク・セキュリティ・グループの作成」をクリックします。
    5. 「基本情報」ページで、次の情報を入力します。
      • 名前: NSGの摘要名。名前は一意である必要はなく、後で変更できます。機密情報を入力しないでください。
      • Create In Compartment: NSGを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
      • 拡張オプションの表示: タグをリソースに適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用することも、後でリソースをタグで更新することもできます。タグ適用についての一般情報は、リソース・タグを参照してください。
    6. 「次へ」をクリックします。
      ルールを使用せずにNSGを作成する場合は、「作成」をクリックして終了します。それ以外の場合は、次のステップに進みます。
    7. 最初のセキュリティ・ルールについては、次の情報を入力します(ルールの例は、ネットワーキング・シナリオを参照してください):
      • StatefulまたはStateless:ルールがStatefulの場合、接続トラッキングはルールに一致するトラフィックに使用されます。ルールがステートレスの場合、接続トラッキングは使用されません。デフォルトでは、特に指定しないかぎりルールはステートフルです。ステートフル・ルールとステートレス・ルールを参照してください。
      • 方向(イングレスまたはエグレス): イングレスはVNICへのインバウンド・トラフィックで、エグレスはVNICからのアウトバウンド・トラフィックです。

      • ソース・タイプおよびソース(イングレス・ルールのみ): 許可されるソース・タイプおよびそれらに指定できるソース値は次のとおりです:

        • CIDR: トラフィックが発生したCIDRブロック。0.0.0.0/0を使用して、すべてのIPアドレスを指定します。接頭辞が必要です(たとえば、個々のIPアドレスを指定する場合は/32を含めます)。
        • Service: Only for packets coming from an Oracle service through a service gateway.ソース・サービスは、目的のサービスCIDRラベルです。
        • ネットワーク・セキュリティ・グループ: このルールのNSGと同じVCN内にあるNSG。

      • Destination TypeおよびDestination (エグレス・ルールの場合のみ): 次に、許可される宛先タイプと、それらに指定できる宛先値を示します:

        • CIDR: トラフィックが送信されるCIDRブロック。0.0.0.0/0を使用して、すべてのIPアドレスを指定します。接頭辞が必要です(たとえば、個々のIPアドレスを指定する場合は/32を含めます)。
        • Service: Only for packets going to an Oracle service through a service gateway.宛先サービスは、目的のサービスCIDRラベルです。
        • ネットワーク・セキュリティ・グループ: このルールのNSGと同じVCN内にあるNSG。
      • IPプロトコル: 単一のIPv4プロトコル(TCP、ICMPなど)、またはすべてのプロトコルをカバーする場合は「all」。
      • ソース・ポート範囲:トラフィックの発生元のポート。TCPまたはUDPの場合、すべてのソース・ポートを指定するか、オプションで単一のソース・ポート番号または範囲を指定できます。
      • Destination Port Range:トラフィックが移動するポート。TCPまたはUDPの場合、すべての宛先ポートを指定するか、オプションで単一の宛先ポート番号または範囲を指定できます。
      • ICMPタイプおよびコード: ICMPの場合、すべてのタイプおよびコードを指定することも、オプションで単一のタイプとオプション・コードを指定することもできます。タイプに複数のコードがある場合は、許可するコードごとに別のルールを作成します。
      • Description: ルールの説明を入力します(オプション)。
    8. 別のセキュリティ・ルールを追加するには、「+別のルール」をクリックしてルールの情報を入力します。追加するルールごとに繰り返します。
    9. 終了したら、「作成」をクリックします。

    NSGが作成され、選択したコンパートメントの「ネットワーク・セキュリティ・グループ」ページに表示されます。インスタンスまたは他のタイプの親リソースを作成または管理する際に、このNSGを指定できるようになりました。

    NSGのすべてのセキュリティ・ルールを表示する場合は、イングレスまたはエグレスでリストをフィルタできます。

  • oci network NSG createコマンドと必要なパラメータを使用して、VCNにNSGを作成します:

    oci network nsg create --compartment-id nsg-compartment-ocid --vcn-id vcn-ocid ... [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateNetworkSecurityGroup操作を実行してNSGを作成します。