ネットワーク・セキュリティ・グループを使用したトラフィックの制御

Private Cloud Applianceでは、ネットワーク・セキュリティ・グループ(NSG)とセキュリティ・リストの両方が、コンピュート・インスタンスの仮想ファイアウォールのタイプです。NSGとセキュリティ・リストの両方がネットワーク・セキュリティ・ルールを定義し、どのタイプのトラフィックをインスタンス内外(VNIC)で許可するかを決定します。

NSGは、VCNで選択した一連のVNICに対して仮想ファイアウォール・ルールを提供します。サブネット内のすべてのVNICに対して一連のファイアウォールルールを提供するには、セキュリティーリストを作成できます。セキュリティ・リストを使用したトラフィックの制御を参照してください。

NSGを使用すると、インスタンスのグループに対してネットワーク・セキュリティ・ルールを定義できます。これは、異なるサブネットにあってもかまいません。たとえば、NSGは、すべてのデータベース・サーバー、または特定のアプリケーションを実行しているすべてのアプリケーション・サーバーに適用できます。特定のサブネットにセキュリティを適用するかわりに、NSGを作成し、NSGに適切なインスタンス(VNIC)を追加します。

VCNを作成すると、デフォルトのセキュリティ・リストが作成されます。グループに含めるVNICを選択する必要があるため、デフォルトのNSGは作成されません。

セキュリティ・リストとNSGの両方を使用する場合、適用可能なセキュリティ・リストまたはNSGのいずれかのルールでトラフィックが許可されていると、特定のVNICとの間のトラフィックが許可されます:

• VNICサブネットに関連付けられている任意のセキュリティ・リスト内のルール

• VNICが存在するNSG内のすべてのルール

詳細は、ネットワーク・セキュリティ・グループを参照してください。