ネットワーク・セキュリティー・グループ
IBM Power Virtual Server で IBM データセンター
ネットワークセキュリティグループ(NSG)は、 IBM® Power® Virtual Server ワークスペースでプロビジョニングされたリソースに関連する特定のネットワークトラフィックを許可または拒否するためのセキュリティルールを定義するために使用されます。 Power Virtual Server ワークスペースのリソース間のネットワークトラフィックを検査およびフィルタリングするために、Power Virtual Server環境でNSGを作成できます。
既存のワークスペースは、ワークスペースが配置されているデータ・センターが新しいメータリング・コードで有効化された後にのみ、NSGサポートを提供できる。 メータリング・コードは、クラウド・リソース名(CRN)に基づいていなければならない。 ロールアウトのスケジュールについては、 リリースノートを 参照のこと。
NSGのセキュリティルールでは、メンバーへの到達が許可または拒否される受信または入力ネットワークトラフィックが定義されます。 メンバーは、サブネットおよび仮想マシン(VM)レベルでの1つ以上のネットワークインターフェース(NIC)です。 すべての送信トラフィックまたは出口トラフィックは自動的に許可されます。
Power Virtual Server 環境でNSGを使用することで、以下のメリットが得られます
- セキュリティとトラフィック制御を強化し、VMとネットワークリソースへの不正アクセスを制限する
- 送信元、送信先、ポート、プロトコル(TCP、UDP、ICMP、Any)に基づいて、特定のセキュリティルールを作成できます
- NSGの利用に追加費用は発生しません。 Power Virtual Server のワークスペースの一部として含まれています
- NSGメンバーのネットワークスループットやネットワークレイテンシに悪影響を与えない
NSG部品
NSG実装の一部であるコンポーネントを理解するために、以下のトピックを確認してください
ネットワークアドレスグループ
ネットワークアドレスグループ(NAG)とは、 Power Virtual Server ワークスペースでプロビジョニングされたネットワークリソースに直接関連しない、CIDR(Classless Inter-Domain Routing)などの1つまたは複数の外部ネットワークアドレス範囲の集合です。 NAG は、 Transit Gateway 経由でアクセス可能なアドレス範囲や、 IBM Cloud Private エンドポイント などの PER によってネイティブにアクセスできるアドレス範囲などの外部ネットワーク アドレス範囲を分類するために使用されます。
NSGルールでは、NAGが参照ポイントとして使用され、複数の外部IPアドレス、サブネット、または仮想ネットワークセグメントを単一のエンティティ(NAG)としてグループ化することで、NSGの実装を簡素化します。 NSGセキュリティルールに複数のIPアドレスやサブネットを列挙する代わりに、NAGを参照して、そのグループ内のすべてのアドレスに同じルールを適用することができます。
NAGsを使用することで、以下のメリットが得られます
- 外部ネットワークアドレスのNSGルールの管理を簡素化
- 複数のアドレスにセキュリティポリシーを適用する際の複雑さを軽減
- NSGルールを変更することなく、NAGに新しいIPアドレス、サブネット、または仮想ネットワークセグメントを追加できるため、スケーラビリティが向上します
メンバー
メンバーとは、 Power Virtual Server ワークスペースに用意された1つまたは複数のネットワークインターフェースです。 ネットワークインターフェースは、イーサネットMACアドレスまたは IPv4 アドレスのいずれかで識別できます。 同じネットワークインターフェースを、MACアドレスを使用するNSGと IPv4 アドレスを使用するNSGの2つの異なるNSGにメンバーとして追加してはなりません。 そうすると予期せぬ動作につながる可能性があります。
NSGは、メンバーとセキュリティルールの集合体です。 詳細はルール をご覧ください。
NSGメンバーは、単一のNSGのみと関連付けることができます。 プロビジョニングされたネットワークリソースは、同時に複数のNSGに属することはできません。
Rules
ルールまたはセキュリティルールは、NSGのメンバーに到達することが許可または拒否される受信ネットワークトラフィックを定義します。 デフォルトでは、すべての受信ネットワークトラフィックは拒否され、セキュリティルールが明示的に定義されていない限り、NSGのメンバーに到達しません。 インバウンドトラフィックを許可するルールを定義する方法について詳しくは 、「NSGでの新しいルールの作成」 を参照してください。
すべての発信トラフィックは自動的に許可されます。
NSGにおけるネットワークトラフィックのルールと優先順位
NSGを Power Virtual Server ワークスペースに実装した場合に、ネットワークトラフィックとセキュリティルールがどのように処理され、優先順位付けされるかを理解するために、以下のトピックを確認してください
ルール評価順序
ルールが識別する受信ネットワークトラフィックの許可または拒否の順序は、以下の主要な要因に依存します
-
否定ルールは常に最初に評価され、最も高い優先順位が与えられます。 拒否ルールがトラフィックに一致した場合、既存の許可ルールに関わらず、トラフィックは直ちにブロックされ、評価はそこで終了します。
-
システムプロセスでは、拒否ルール処理が完了した後にのみ、ルール処理が可能となります。 拒否ルールに一致するものがなければ、システムは許可ルールの評価に進みます。
-
複数のAllowルールが重複している場合、リストの最初の一致するルールが優先され適用されます。 重複するルールは衝突を引き起こしません。 以下に例を示します。
-
ルールA :TCPを許可する。
All
。 -
ルールB :TCPを許可する。
Port 22
。結果 :どちらのルールが先に一致するかによって、どちらかのルールが適用される可能性があります。
-
-
Allow ルールに一致しないトラフィックは、暗黙の Deny ルールに従って、デフォルトで拒否されます。
トラフィックの一致におけるNAGの優先順位
以下の情報を確認し、受信ネットワークトラフィックがどのようにNAGに一致するかを理解してください
-
受信ネットワークトラフィックは、カスタムNAG内の最も特定のCIDRに一致させられます。 NAGのルールで許可または拒否が評価される際には、カスタムNAGの最も特定性の高いCIDRとソースIPアドレスが照合され、デフォルトNAG(
0.0.0.0/0
)とは照合されません。 -
ソースIPがより特定のNAGに該当する場合、そのNAGからのネットワークトラフィックを許可する明示的なNSGルールが必要です。
-
カスタムNAGにCIDRがより具体的に存在する場合、デフォルトのNAG(
0.0.0.0/0
)に依存すると、インバウンドトラフィックが許可されません。
例えば、リモートシステムとカスタムNAGを次のような構成で使用することを考えてみましょう
- IPアドレス
10.55.55.2
のリモートシステム。 - 既存のカスタムNAGでCIDRを使用するには
10.55.55.0/24
。
10.55.55.2
からのトラフィックを許可するには、NSGルールでカスタムNAG(10.55.55.0/24
)からのトラフィックを明示的に許可する必要があります。このトラフィックは、デフォルトのNAG(0.0.0.0/0
)には一致しません。
NAG の操作の詳細については、 「ワークスペースでの NAG の作成と管理」を 参照してください。
ワークスペースでのネットワークセキュリティグループの設定
Power Virtual Server 環境でワークスペースをプロビジョニングすると、そのワークスペース内の既存のネットワークインターフェース間の双方向通信を可能にするために、デフォルトのNSGとNAGが自動的に作成されます。
NSGの設定、構成、管理のさまざまな側面を理解するために、以下のトピックを確認してください
ワークスペースでNSGを有効または無効にする
NSG機能は、PERおよび拡張CRN対応ワークスペースで有効または無効にすることができます。 ただし、以前のワークスペース、手動ワークスペース、VPNワークスペース、またはクラウド接続ワークスペースでは、NSGを有効にできません。
Power Virtual Server ワークスペースがNSGをサポートするための前提条件を満たしているかどうかを確認するには、次の IBM Cloud CLIコマンドを実行します
ibmcloud resource service-instance <WORKSPACE_CRN> -o json
resourceCRNs
プロパティが存在し、その値が true
に設定されていることを確認します
"extensions": {
"resourceCRNs": true
},
既存のワークスペースでNSG機能を有効または無効にするには、以下の手順に従います
- Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
- 左のナビゲーションメニューでワークスペースをクリックします。
- NSG機能を有効または無効にしたいワークスペースを選択します。 ワークスペースの詳細] ウィンドウが表示されます。
- ネットワークセキュリティグループ機能を 「有効」 または 「無効」 に設定します。
ワークスペースでNSG機能が有効になっている場合、そのワークスペース内の既存のNICアタッチメントのメンバーをすべて含むデフォルトのNSGが、2つのルールとともに自動的に作成されます。 最初のルールでは、「デフォルト」のNSG内の他のメンバーからのすべての双方向通信(Protocol=ALL
)を許可しています。 2つ目のルールでは、「デフォルト」のNAG(0.0.0.0/0
)との双方向通信(Protocol=ALL
)をすべて許可します(ワークスペース外のネットワークCIDR)。
デフォルトのルールを削除することで、同じNSG内のメンバー間、および外部アドレスからの完全な分離を実現できます。 デフォルトのルールが削除されると、すべての受信トラフィックはデフォルトで拒否されます。 これらのルールを削除するには 、「既存のNSGセクションからルールを削除する」の項 に記載されている手順に従ってください。
ワークスペースでのNSGの作成と管理
ワークスペースにNSGを作成するには、デフォルト構成でルールやメンバーを定義せずに作成するか、NSG作成時にインバウンドルールを定義し、メンバーを追加して作成することができます。
デフォルト設定のNSGを作成する
ワークスペースにNSGを作成する際、セキュリティルールを強制的に定義したり、NSGにメンバーを追加したりする必要はありません。 ただし、NSGをデフォルト設定で作成した後でも、後からルールやメンバーを追加することができます。
デフォルトでは、すべての受信ネットワークトラフィックは拒否され、ネットワークセキュリティグループのメンバーには到達しません。 デフォルト設定のNSGを作成するには、以下の手順に従います
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
NSGを作成するワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
ネットワークセキュリティグループの作成 」をクリックします。 ネットワークセキュリティグループの作成] ウィンドウが表示されます。
-
詳細セクションで、ネットワークセキュリティグループの名前を入力し 、「続行」 をクリックします。 インバウンドのセキュリティルールを定義し、NSGにメンバー を追加するには、 [続行]> [完了] > [作成] の順にクリックします。
インバウンドルールとメンバーを持つNSGの作成
インバウンドトラフィックを許可または拒否するには、インバウンドルールを明確に定義する必要があります。 インバウンドルールとメンバーを持つNSGを作成し定義するには、以下の手順に従います
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
NSGを作成するワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
ネットワークセキュリティグループの作成 」をクリックします。 ネットワークセキュリティグループの作成] ウィンドウが表示されます。
-
詳細セクションで、ネットワークセキュリティグループの名前を入力し、 [続行] をクリックします。
-
インバウンドルール(オプション)]セクションで、[ ルールの作成 ]をクリックします。 「Create」のルールパネルが表示されます。
-
以下のいずれかのアクションを選択する:
- 許可: 指定したリモートからのネットワーク トラフィックを許可するには、このオプションを使用します。
- 拒否 :このオプションを使用して、許可ルールを無効にしてトラフィックの例外を作成します。
-
制御したいトラフィックの種類に応じて、以下のプロトコルのいずれかを選択します
-
Transmission Control Protocol (TCP ): ウェブ( HTTP / HTTPS )、SSH、RDP、FTP、データベースなど、信頼性が高く接続指向のトラフィックに最適です。 このプロトコルは、送信されたすべてのパケットが宛先に到達し、正しい順序で届くことを保証します。
-
ユーザー・データグラム・プロトコル(UDP ):リアルタイム通信、高速、およびDNS、 VoIP, ネットワーク監視、ビデオストリーミング、ゲームなどのコネクションレス型トラフィックに最適です。 このプロトコルは、配信、順序、エラー訂正を保証するものではありません。
-
インターネット制御メッセージプロトコル(ICMP):
ping
やtraceroute
などのネットワーク診断に最適です。 ICMPは、TCPやUDPとは異なり、アプリケーション間のデータ転送をサポートしていません。 -
任意 :特定のポートまたはポートのセット上のあらゆるプロトコルに適用するルールの作成に最適。 ただし、このオプションでは、特定のプロトコルベースのセキュリティを制御することはできません。
-
-
前のステップでリストから選択したプロトコルに応じて、以下の手順を完了してください
-
TCP
-
リモート: ルールのトラフィックを許可または拒否するネットワークセキュリティグループまたはネットワークアドレスグループを選択します。 必要なネットワーク アドレス グループが使用できない場合は、 [ネットワーク アドレス グループの作成] をクリックして作成します。
-
ソースポートの範囲 :受信トラフィックの送信元となるポートの範囲を指定します。 有効な範囲は
1–65535
です。 -
宛先ポート範囲 :受信トラフィックが受信されるポートの範囲を指定します。 有効な範囲は
1–65535
です。 -
許可/拒否フラグ :詳細オプションを使用して、リストから1つまたは複数のTCPフラグを選択することができます。 サポートされている言語は以下のとおりです
ack
fin
rst
syn
-
-
UDP
-
リモート: ルールのトラフィックを許可または拒否するネットワークセキュリティグループまたはネットワークアドレスグループを選択します。 必要なネットワーク アドレス グループが表示されない場合は、 [ネットワーク アドレス グループの作成] をクリックして作成します。
-
送信元ポートの範囲 :受信トラフィックの発信元ポートの範囲を指定します。 有効な範囲は
1–65535
です。 -
宛先ポート範囲 :受信トラフィックが受信されるポートの範囲を指定します。 有効な範囲は
1–65535
です。
-
-
ICMP
-
リモート: ルールのトラフィックを許可または拒否するネットワークセキュリティグループまたはネットワークアドレスグループを選択します。 必要なネットワーク アドレス グループが使用できない場合は、 [ネットワーク アドレス グループの作成] をクリックして作成します。
-
ICMP メッセージタイプ :リストから必要なメッセージタイプを選択してください。 サポートされているタイプは次のとおりです
all
echo
echo-reply
source-quench
time-exceeded
destination-unreach
-
-
任意
- リモート: ルールのトラフィックを許可または拒否するネットワークセキュリティグループまたはネットワークアドレスグループを選択します。 必要なネットワーク アドレス グループが使用できない場合は、 [ネットワーク アドレス グループの作成] をクリックして作成します。
-
**「ルールの作成」**をクリックします。
-
NSGにメンバーを追加するには 、「続行」 をクリックします。
-
メンバー(オプション)セクションで 、「メンバーを追加」 をクリックします。 ワークスペースの一部である既存の仮想サーバーインスタンスがリスト表示されます。 仮想サーバーがリストに表示されていない場合は 、「 IBM Power Virtual Server の作成」 の手順に従って作成することができます。
ネットワークセキュリティグループにメンバーを追加すると、それらのメンバーへのインバウンドネットワークトラフィックを制御できるようになります。 メンバーは、同時に1つのネットワークセキュリティグループにしか関連付けられません。
-
仮想サーバーインスタンスを選択し、[ Next]をクリックします。 仮想サーバーインスタンスに属するネットワークインターフェースの一覧が表示されます。
-
リストから1つ以上のネットワークインターフェースを選択し 、「メンバーを追加」 をクリックします。
-
「完了 (Finish)」 をクリックします。
-
「作成」 をクリックします。 作成したNSGは 、「ネットワークセキュリティグループ」タブに表示されます。
NSGが作成された後、以下の操作を行うことで、それらを管理することができます
NSGの名称変更
NSGの名前を変更するには、以下の手順を実行します:
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
名前を変更するNSGが含まれているワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
名前を変更したいNSGエントリーのオーバーフローメニュー(縦に3つのドットがあるアイコン)をクリックし 、「編集」 を選択します。 ネットワークセキュリティグループの詳細ペインが表示されます。
-
NSGの新しい名前を入力し、[ 保存]をクリックします。
NSGの削除
作成した NSG のみを削除でき、 Power Virtual Server ワークスペースで NSG 機能が有効になっている場合に作成されるデフォルト NSG は削除できません。
NSGを削除するには、以下の手順を実行します:
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
削除するNSGが含まれているワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
削除したいNSGのエントリにあるオーバーフローメニュー(縦に3つのドットがあるアイコン)をクリックし 、「削除」 を選択します。 ネットワークセキュリティグループの削除確認メッセージボックスが表示されます。
-
削除をクリックして、削除リクエストを開始します。 この操作は元に戻せません。
Power Virtual Server ワークスペースを削除すると、そのワークスペース内のNSGもすべて削除されます。
CLI、API、またはTerraformインターフェースを使用してNSG機能を無効にする前に、すべてのNSGとNAGを削除する必要があります。
ワークスペースでのNAGの作成と管理
NAGは、 Power Virtual Server ワークスペースの外部のネットワークアドレスからNSGのメンバーへのインバウンドトラフィックを定義するインバウンドルールの一部です。 NAGは Power Virtual Server ワークスペースの外部にあるネットワークトラフィックを識別するために使用されるため、ワークスペース内にNAGを作成し、CIDRメンバーを追加することができます。 1つのワークスペースで作成できるNAGは最大10個です。
NAGを作成するには、以下のステップを完了する:
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
NAG を作成するワークスペースを選択します。
-
左側のナビゲーションペインの「ネットワーク」で 「ネットワークセキュリティグループ」 をクリックします。 ネットワークセキュリティグループのパネルが表示されます。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループのページが表示されます。
-
ネットワークアドレスグループタブを選択します。 既存のNAGのリストが表示されます。
-
ネットワークアドレスグループの作成をクリックします。 ネットワークアドレスグループの作成] パネルが表示されます。
-
NAGの名前とユーザータグ(オプション)を入力します。 このステップでは、CIDR を使用して外部 IP アドレスを追加することで、メンバーを追加するオプションを選択できます。 同じCIDRを複数のNAGで使用することはできないことに注意してください。 CIDRを使用してメンバーを追加する際は、以下のガイドラインに従ってください
- RFC 1518 および RFC 1519 文書で定義されているCIDR表記を使用する必要があります。
- 有効なCIDR形式は
<IPv4 address>/<number>
です。 例えば、192.168.1.0/24
は192.168.1.0 — 192.168.1.255
のIP範囲を表し、10.0.0.0/16
は10.0.0.0—10.0.255.255
のIP範囲を表します。 - 「もう一人追加」 をクリックすると、さらにメンバーを追加できます。
NAGを作成する際に、3人以上のメンバーを追加することはできません。 NAG作成後にメンバーを追加することができます。
顧客定義のNAGの他に、 0.0.0.0/0 CIDRで構成されるデフォルトのNAGも利便性のために用意されています。
CIDR
161.26.0.0/16
は、 IBM Cloud IaaS DNS、 Linux® ソフトウェアリポジトリ、NTP などのプライベートエンドポイントを識別するために使用できます。
CIDR166.8.0.0/14
は、 IBM Cloud PaaS などのプライベートエンドポイント( IBM Cloud Databases )を識別するために使用できます。 -
**「グループの作成」**をクリックします。
NAGが作成された後、以下の操作を行うことで、それらを管理することができます
NAGの名前を変更する
NAG の名前を変更するには、以下の手順を実行します:
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
名前を変更するNAGが含まれているワークスペースを選択します。
-
左側のナビゲーションペインの「ネットワーク」で 「ネットワークセキュリティグループ」 をクリックします。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。
-
ネットワークアドレスグループタブを選択します。 既存のNAGのリストが表示されます。
-
名前を変更したいNAGエントリーの右端にあるオーバーフローメニュー(縦に3つのドットが並んだアイコン)をクリックし 、「編集」 を選択します。 ネットワークアドレスグループの詳細を編集するパネルが表示されます。
-
NAG の新しい名前を入力し、 保存をクリックします。
NAGを削除する
NAGを削除するには、以下の手順を実行する:
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
削除するNAGが含まれるワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。
-
ネットワークアドレスグループタブを選択します。 既存のNAGのリストが表示されます。
-
削除したいNAGのエントリにあるオーバーフローメニュー(縦に3つのドットがあるアイコン)をクリックし 、「削除」 を選択します。 ネットワークアドレスグループの削除確認メッセージボックスが表示されます。
-
削除をクリックして、削除リクエストを開始します。 この操作は元に戻せません。
NSGにおけるインバウンドルールの作成と管理
NSGの受信セキュリティルールは、以下の操作を行うことで管理できます
NSG上のルール作成
NSGでは、2つの時点でルールを作成できます。 まず、NSGを最初に作成する際に、次に、既存のNSGのネットワークセキュリティグループの詳細ページを後から再訪問する際に。 NSGを作成する際にNSGのルールを作成するには 、「インバウンドルールとメンバーを持つNSGの作成」セクション の手順に従ってください。
NSGはステートレスであり、すべての送信トラフィックが自動的に許可されるため、他のNSGまたはNAGからNSGメンバーに流入するすべての返信パケットに対してルールを定義する必要があります。
既存のNSGにルールを作成するには、以下の手順に従います
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
ルールを作成したいNSGが含まれるワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
ルールを作成するNSGを選択します。 選択されたNSGのネットワークセキュリティグループの詳細が表示されます。
-
Inbound rulesセクションで、 Create rulesをクリックする。 「Create」のルールパネルが表示されます。
-
「インバウンドルールとメンバーを持つNSGの作成 」セクションの手順に従ってください。
既存のNSGにおけるクローニングのルール
既存の受信ルールと同じ構成の受信ルールを作成するには、既存のNSGのルールを複製することができます。 NSG内のルールのみがクローン化でき、メンバーはクローン化できないことに注意してください。 既存のルールを複製すると、アクション(許可または拒否)、プロトコル、リモート、ソースおよび宛先ポート範囲などのすべてのプロパティが新しいルールにコピーされます。 NSG間のメンバーの移動の際には、クローニングプロセスにより、NSG内のすべてのルールが確実に引き継がれます。
また、ルールの複製されたプロパティをカスタマイズして、異なるルールを効率的に素早く作成することもできます。 既存のルールをクローンするには、以下の手順を実行する:
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
複製したいルールを持つNSGが含まれているワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
クローンするルールを含むNSGを選択します。 選択した NSG のネットワークセキュリティグループの詳細ページが表示されます。
-
インバウンドルールセクションで、複製するルールが含まれているタブ (TCP 、UDP 、ICMP、または Any )を選択します。
-
複製したいルールの入力欄のオーバーフローメニュー(縦に3つのドットがあるアイコン)をクリックし 、「複製」 を選択します。 「Create」のルールパネルが表示されます。
-
**「ルールの作成」**をクリックします。 新しいルールは、まったく同じ設定で作成されます。 また 、「ルールを作成」をクリックする前に必要な変更を加えることで、異なる設定のルールを作成することもできます。
既存のNSGからルールを削除する
既存のNSGからルールを削除するには、以下の手順に従います
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
削除したいルールを持つNSGが含まれているワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
削除したいルールを持つNSGを選択します。 選択した NSG のネットワークセキュリティグループの詳細ページが表示されます。
-
受信のルールセクションで、削除するルールが含まれているタブ (TCP 、UDP 、ICMP、または Any )を選択します。
-
複製したいルールエントリーのオーバーフローメニュー(縦に3つのドットがあるアイコン)をクリックし 、「削除」 を選択します。 ネットワークセキュリティグループの削除確認メッセージボックスが表示されます。
-
削除をクリックして、削除リクエストを開始します。 この操作は元に戻せません。
NSGへのメンバーの追加と管理
NSGに関連付けられたメンバーを管理するには、以下の操作を行います
ネットワークセキュリティグループへのメンバーの追加
NSGにメンバーを追加することで、関連付けられたネットワークインターフェースへの受信ネットワークトラフィックを制御することができます。
メンバーは2つのポイントで追加できます。 まず、NSGを最初に作成する際に、次に、既存のNSGのネットワークセキュリティグループの詳細ページを後から再訪問する際に。 NSG の作成時にメンバーを追加するには、 「受信ルールとメンバーを使用して NSG を作成する」 セクションに記載されている手順を完了します。
既存のNSGにメンバーを追加するには、以下の手順に従います
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
メンバーを追加するNSGが含まれているワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
メンバーを追加するNSGを選択する。 選択した NSG のネットワークセキュリティグループの詳細ページが表示されます。
-
メンバーセクションで 、「メンバーを追加」 をクリックします。 ワークスペースの一部である既存の仮想サーバーインスタンスがリスト表示されます。 仮想サーバーがリストに表示されていない場合は 、「 IBM Power Virtual Server の作成」 の手順に従って仮想サーバーを作成することができます。
メンバーは、同時に1つのネットワークセキュリティグループにしか関連付けられません。
- 仮想サーバーインスタンスを選択し、[ Next]をクリックします。 仮想サーバーインスタンスの一部である既存のネットワークインターフェースが表示されます。
- リストから1つ以上のネットワークインターフェースを選択し 、「メンバーを追加」 をクリックします。
- 「作成」 をクリックします。
NSGからメンバーを削除する
NSGに関連付けられているメンバーを削除するには、以下の手順に従います
-
Power Virtual Server のユーザーインターフェイスを開きます。 IBM Cloud します。
-
左のナビゲーション・メニューでワークスペースをクリックします。
-
メンバーを削除したいNSGが含まれているワークスペースを選択します。
-
ナビゲーションウィンドウで 、「ネットワーク」 > 「ネットワークセキュリティグループ」 の順にクリックします。 ネットワークセキュリティグループページには、 ネットワークセキュリティグループタブに既存のNSGのリストが表示されます。
-
メンバーを削除したいNSGを選択します。 選択した NSG のネットワークセキュリティグループの詳細ページが表示されます。
-
メンバーセクションで、NSGから削除したいメンバーのエントリーの削除アイコンをクリックします。 ネットワークセキュリティグループのメンバーを削除する確認メッセージボックスが表示されます。
-
削除をクリックして、削除リクエストを開始します。 この操作は元に戻せません。
VMにアタッチされているネットワーク・インターフェイスまたはサブネットを削除すると、NICは関連するすべてのNSGからも切り離されます。
枠と制限
NSGは、 Power Virtual Server 環境において、以下の制限があります
- 1つのワークスペースで作成できるNSGとNAGはそれぞれ10個までです。 これらのクォータはデータセンターレベルで定義されており、 サポートチケット を通じて標準的な制限の範囲内で増やすことができます。
上限引き上げのためのサポートチケットは、カスタマーサポートおよび Power Virtual Server の業務によって評価され、 IBM の裁量によります。
-
ネットワークポートは、イーサネットMACアドレスまたは IPv4 アドレスに基づいて識別できます。 単一のネットワークポートを2つの異なる識別子を使用して2つの異なるNSGに追加してはならない。 そうすると、未知のネットワークトラフィックの挙動が発生し、サポート対象外の構成となります。
-
会員は一度に1つのNSGにしか所属できない。
-
NIC(ネットワークインターフェースカード)にパブリックIPアドレスが割り当てられているメンバーはNSGに追加できません。 NSGはプライベートネットワークにのみ適用できます。
セキュリティーに関する考慮事項
Power Virtual Server ワークスペースでNSG機能が無効になっている場合、そのワークスペース内のVMとサブネット間の通信は無制限に許可されます。 ワークスペースでNSG機能を有効にすると、この動作が維持されるだけでなく、特定の要件を満たすためにセキュリティルールでネットワークトラフィックを制御できるようになります。