Oracle Cloud Infrastructureドキュメント

NSGの作成

Virtual Cloud Network (VCN)にネットワーク・セキュリティ・グループ(NSG)を作成します。

各VCNには、基本的な接続を可能にするデフォルトのセキュリティ・ルールが含まれるデフォルト・セキュリティ・リストが付属しています。ただし、VCNにはデフォルトのNSGはありません。

NSGを作成すると、最初は空になり、セキュリティ・ルールやVNICは作成されません。コンソールを使用している場合は、作成中にセキュリティ・ルールをNSGに追加できます。セキュリティ・ルールの一部について理解します。

オプションで、作成時にNSGにフレンドリ名を割り当てることができます。名前は一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をNSGに自動的に割り当てます。詳細は、リソース識別子を参照してください。

アクセス制御の目的のために、NSGを配置するコンパートメントを指定する必要があります。どのコンパートメントを使用するかわからない場合は、組織の管理者に連絡してください。詳細は、アクセス制御を参照してください。

    1. 「Virtual Cloud Networks」リスト・ページで、操作するVCNを選択します。If you need help finding the list page or the VCN, see Listing VCNs.
    2. 詳細ページで、表示されるオプションに応じて、次のいずれかのアクションを実行します。
      • 「セキュリティ」タブで、「ネットワーク・セキュリティ・グループ」セクションに移動します。
      • 「リソース」で、「ネットワーク・セキュリティ・グループ」を選択します。
    3. 「ネットワーク・セキュリティ・グループの作成」を選択します。
    4. NSGのわかりやすい名前を入力します。一意である必要はありません。機密情報を入力しないでください。
    5. NSGを作成するコンパートメントを確認します。必要に応じて別のコンパートメントを選択します。
    6. (オプション)「タグ」セクションで、1つ以上のタグを追加します。リソースを作成する権限を持つ場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する許可が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
    7. (オプション)ルールなしでNSGを作成するには、「作成」を選択して完了します。
    8. 「ルール」セクションで、最初のセキュリティ・ルールについて次の情報を入力します(ルールの例については、ネットワーキング・シナリオを参照)。
      • 「ステートレス」または「ステートフル」を選択します。ルールがステートフルである場合、ルールに一致するトラフィックには接続トラッキングが使用されます。ルールがステートレスである場合、接続トラッキングは使用されません。デフォルトでは、特に指定しないかぎりルールはステートフルです。ステートレス・ルールと比較したステートフルを参照してください。
      • 方向(イングレスまたはエグレス):イングレスはVNICへのインバウンド・トラフィックであり、エグレスはVNICからのアウトバウンド・トラフィックです。

      • 「ソース・タイプ」および「ソース」を選択します(イングレス・ルールの場合のみ): 許可されるソース・タイプと、それらに指定できるソース値を次に示します。

        • CIDR: トラフィックの起源となるCIDRブロック。0.0.0.0/0を使用して、すべてのIPアドレスを指定します。接頭辞が必要です(たとえば、個々のIPアドレスを指定する場合は/32を含めます)。CIDR表記の詳細は、RFC1817およびRFC1519を参照してください。
        • Service: Only for packets coming from an Oracle service through a service gateway.ソース・サービスは、目的のサービスCIDRラベルです。
        • ネットワーク・セキュリティ・グループ: このルールNSGと同じVCN内にあるNSG。

      • 「宛先タイプ」および「宛先」を選択します(エグレス・ルールの場合のみ): 許可される宛先タイプと、それらに指定できる宛先値は次のとおりです:

        • CIDR: トラフィックが移動するCIDRブロック。0.0.0.0/0を使用して、すべてのIPアドレスを指定します。接頭辞が必要です(たとえば、個々のIPアドレスを指定する場合は/32を含めます)。CIDR表記の詳細は、RFC1817およびRFC1519を参照してください。
        • Service: Only for packets going to an Oracle service through a service gateway.宛先サービスは、目的のサービスCIDRラベルです。
        • ネットワーク・セキュリティ・グループ: このルールNSGと同じVCN内にあるNSG。
      • IPプロトコル単一のIPv4プロトコル(TCP、ICMPなど)、またはすべてのプロトコルをカバーする場合は「all」。
      • 「ソース・ポート範囲」を選択します。トラフィックの発信元であるポート。TCPまたはUDPの場合、すべてのソース・ポートを指定するか、オプションで単一のソース・ポート番号または範囲を指定できます。
      • 「宛先ポート範囲」を選択します。トラフィックが送信されるポート。TCPまたはUDPの場合、すべての宛先ポートを指定するか、オプションで単一の宛先ポート番号または範囲を指定できます。
      • ICMPタイプとコード: ICMPの場合、すべてのタイプおよびコードを指定することも、オプションで単一のタイプとオプション・コードを指定することも可能です。タイプに複数のコードがある場合は、許可されるコードごとに別々のルールを作成します。
      • 説明: ルールの説明(オプション)を入力します。
    9. 別のセキュリティ・ルールを追加するには、「+別のルール」を選択してルールの情報を入力します。追加するルールごとに繰り返します。
    10. 完了したら、「作成」を選択します。

    NSGが作成され、選択されたコンパートメントの「ネットワーク・セキュリティ・グループ」リストに表示されます。インスタンスまたは他のタイプの親リソースを作成または管理する際に、このNSGを指定できるようになりました。

    NSGのすべてのセキュリティ・ルールを表示する場合は、イングレスまたはエグレスでリストをフィルタできます。

  • network NSG createコマンドおよび必要なパラメータを使用して、VCNにNSGを作成します:

    oci network nsg create --compartment-id nsg-compartment-ocid --vcn-id vcn-ocid ... [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateNetworkSecurityGroup操作を実行してNSGを作成します。