Oracle Cloud Infrastructureドキュメント

ネットワーク・セキュリティ・グループ

Private Cloud Applianceでは、ネットワーク・セキュリティ・グループ(NSG)は、単一のVCN内のクラウド・リソースのセットに対して、すべて同じセキュリティ状態を持つ仮想ファイアウォールを提供します。たとえば、コンピュート・インスタンスのグループで、すべて同じタスクを実行するため、すべて同じポート・セットを使用する必要がある場合です。

NSGのルールはVNICに適用されますが、NSGメンバーシップは親リソースによって決定されます。すべてのクラウド・サービスがNSGをサポートしているわけではありません。現在、次のタイプの親リソースはNSGの使用をサポートしています:

  • コンピュート・インスタンス: インスタンスを作成する場合、インスタンスのプライマリVNICに1つ以上のNSGを指定できます。セカンダリVNICをインスタンスに追加する場合、そのVNICに1つ以上のNSGを指定できます。既存のVNICのNSGメンバーシップを変更することもできます。

  • ロード・バランサ:ロード・バランサを作成するときに、(バックエンド・セットではなく)ロード・バランサに対して1つ以上のNSJを指定できます。また、既存のロード・バランサを更新して、1つ以上のNSGを使用することもできます。

  • マウント・ターゲット: ファイル・システムのマウント・ターゲットを作成する場合、1つ以上のNSGを指定できます。また、既存のマウント・ターゲットを更新して、1つ以上のNSGを使用することもできます。

NSGをまだサポートしていないリソース・タイプについては、引き続きセキュリティ・リストを使用して、これらの親リソースとの間のトラフィックを制御します。

ノート

インターネット・ゲートウェイをNSGに関連付けることはできません。

NSGには、次の2つのタイプの要素が含まれています。

  • VNIC: 1つ以上のVNIC。たとえば、すべてのコンピュート・インスタンスのセットにアタッチされたVNICに、同じセキュリティ状態があります。すべてのVNICは、NSGが属するVCN内にある必要があります。VNICは、最大5つのNSGで使用できます。

  • セキュリティールール:グループ内のVNICとの間で許可されるトラフィックのタイプを定義するルール。たとえば、特定のソースからのイングレスTCPポート22 SSHトラフィックなどです。

NSGの作業の一般的なプロセスは、次のとおりです。

  1. NSGを作成します。

    NSGを作成すると、最初は空になり、セキュリティ・ルールもVNICも含まれません。NSGの作成後、セキュリティ・ルールを追加または削除して、グループ内のVNICが必要とするイングレスおよびエグレス・トラフィックのタイプを許可できます。

  2. セキュリティ・ルールをNSGに追加します。

  3. 親リソース、またはより具体的にはVNICをNSGに追加します。

    NSG VNICメンバーシップを管理する場合、NSG自体ではなく親リソースの作業の一部として実行します。親リソースを作成するときにこれを実行するか、または親リソースを更新して1つ以上のNSGに追加できます。

    コンピュート・インスタンスを作成し、NSGに追加すると、インスタンスのプライマリVNICがNSJに追加されます。セカンダリVNICは個別に作成でき、オプションでNSGに追加できます。

セキュリティ・リストと比較して、NSGのREST APIモデルにはいくつかの違いがあります:

  • セキュリティ・リストには、IngressSecurityRuleオブジェクトと個別のEgressSecurityRuleオブジェクトがあります。ネットワーク・セキュリティ・グループには、SecurityRuleオブジェクトのみが存在し、オブジェクトのdirection属性によって、ルールがイングレス・トラフィック用かエグレス・トラフィック用かが決定されます。

  • セキュリティ・リストを使用する場合、ルールはSecurityListオブジェクトの一部であり、セキュリティ・リスト操作(たとえば: UpdateSecurityList)をコールして規則を使用します。NSGを使用する場合、ルールはNetworkSecurityGroupオブジェクトの一部でもありません。かわりに、個別の操作を使用して特定のNSJのルールを使用します(例: UpdateNetworkSecurityGroupSecurityRules)。

  • 既存のネットワーク・ルールを更新するモデルは、セキュリティ・リストとNSG間で異なります。NSGでは、特定のグループの各ルールに一意の識別子があります。UpdateNetworkSecurityGroupSecurityRulesをコールするときは、更新する特定のルールのIDを指定します。セキュリティ・リストを使用する場合、ルールに一意の識別子はありません。UpdateSecurityListをコールする場合、コールで更新されていないルールも含め、ルールのリスト全体を渡す必要があります。

  • セキュリティ・ルールを追加、削除または更新する操作をコールする場合、ルールは25個までに制限されています。

詳細は、ネットワーク・セキュリティ・グループを使用したトラフィックの制御を参照してください。