Oracle Cloud Infrastructureドキュメント

NSGの作成

仮想クラウド・ネットワーク(VCN)にネットワーク・セキュリティ・グループ(NSG)を作成します。

各VCNには、基本的な接続を可能にするデフォルトのセキュリティ・ルールが含まれるデフォルト・セキュリティ・リストが付属しています。ただし、VCNにはデフォルトのNSGはありません。

NSGを作成すると、最初は空になり、セキュリティ・ルールやVNICは作成されません。コンソールを使用している場合は、作成中にセキュリティ・ルールをNSGに追加できます。セキュリティ・ルールの一部について理解します。

オプションで、作成時にNSGにフレンドリ名を割り当てることができます。名前は一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をNSGに自動的に割り当てます。詳細は、リソース識別子を参照してください。

アクセス制御の目的のために、NSGを配置するコンパートメントを指定する必要があります。使用するコンパートメントが不明な場合は、組織の管理者に問い合せてください。詳細は、アクセス制御を参照してください。

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 目的のVCNの名前をクリックします。
    3. 「リソース」で、「ネットワーク・セキュリティ・グループ」をクリックします。
    4. 「ネットワーク・セキュリティ・グループの作成」をクリックします。
    5. 「基本情報」ページで、次の情報を入力します。
      • 名前: NSGの識別名。名前は一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
      • コンパートメントで作成: NSGを作成するコンパートメント(現在作業しているコンパートメントとは異なる場合)。
      • 拡張オプションの表示: リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用するか、後でリソースをタグで更新できます。タグ適用についての一般情報は、リソース・タグを参照してください。
    6. 次へ」をクリックします。
      ルールを使用せずにNSGを作成する場合は、「作成」をクリックして終了します。それ以外の場合は、次のステップに進みます。
    7. 最初のセキュリティ・ルールについては、次の情報を入力します(ルールの例は、ネットワーキング・シナリオを参照してください):
      • ステートフルまたはステートレス:ルールがステートフルの場合は、ルールに一致するトラフィックに接続トラッキングが使用されます。ルールがステートレスの場合、接続トラッキングは使用されません。デフォルトでは、特に指定しないかぎりルールはステートフルです。ステートフル・ルールとステートレス・ルールを参照してください。
      • 方向(イングレスまたはエグレス): イングレスはVNICへのインバウンド・トラフィックで、エグレスはVNICからのアウトバウンド・トラフィックです。

      • ソース・タイプおよびソース(イングレス・ルールの場合のみ): 許可されるソース・タイプと、それらに指定できるソース値は次のとおりです:

        • CIDR: トラフィックの起源となるCIDRブロック。0.0.0.0/0を使用して、すべてのIPアドレスを指定します。接頭辞が必要です(たとえば、個々のIPアドレスを指定する場合は/32を含めます)。
        • Service: Only for packets coming from an Oracle service through a service gateway.ソース・サービスは、目的のサービスCIDRラベルです。
        • ネットワーク・セキュリティ・グループ: このルールのNSGと同じVCN内にあるNSG。

      • 宛先タイプおよび宛先(エグレス・ルールの場合のみ): 許可される宛先タイプと、それらに指定できる宛先値は次のとおりです:

        • CIDR: トラフィックが移動するCIDRブロック。0.0.0.0/0を使用して、すべてのIPアドレスを指定します。接頭辞が必要です(たとえば、個々のIPアドレスを指定する場合は/32を含めます)。
        • Service: Only for packets going to an Oracle service through a service gateway.宛先サービスは、目的のサービスCIDRラベルです。
        • ネットワーク・セキュリティ・グループ: このルールのNSGと同じVCN内にあるNSG。
      • IPプロトコル: 単一のIPv4プロトコル(TCP、ICMPなど)、またはすべてのプロトコルをカバーする場合は「all」。
      • ソース・ポート範囲:トラフィックの発生元のポート。TCPまたはUDPの場合、すべてのソース・ポートを指定するか、オプションで単一のソース・ポート番号または範囲を指定できます。
      • 宛先ポート範囲:トラフィックが移動するポート。TCPまたはUDPの場合、すべての宛先ポートを指定するか、オプションで単一の宛先ポート番号または範囲を指定できます。
      • ICMPタイプおよびコード: ICMPの場合、すべてのタイプおよびコードを指定できます。または、オプションで単一のICMPタイプとオプション・コードを指定できます。タイプに複数のコードがある場合は、許可するコードごとに別々のルールを作成します。
      • Description: ルールのオプションの説明を入力します。
    8. 別のセキュリティ・ルールを追加するには、「+別のルール」をクリックしてルールの情報を入力します。追加するルールごとに繰り返します。
    9. 終了したら、「作成」をクリックします。

    NSGが作成され、選択したコンパートメントの「ネットワーク・セキュリティ・グループ」ページに表示されます。インスタンスまたは他のタイプの親リソースを作成または管理する際に、このNSGを指定できるようになりました。

    NSGのすべてのセキュリティ・ルールを表示する場合は、イングレスまたはエグレスでリストをフィルタできます。

  • network NSG createコマンドおよび必要なパラメータを使用して、VCNにNSGを作成します:

    oci network nsg create --compartment-id nsg-compartment-ocid --vcn-id vcn-ocid ... [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateNetworkSecurityGroup操作を実行してNSGを作成します。