Oracle Cloud Infrastructureドキュメント

ネットワーク・セキュリティ・グループ

On a Roving Edge device, a network security group (NSG) provides a virtual firewall for a set of cloud resources, within a single VCN, that all have the same security posture. たとえば、コンピュート・インスタンスのグループで、すべて同じタスクを実行するため、すべて同じポート・セットを使用する必要がある場合です。

NSG内のルールはVNICに適用されますが、NSGメンバーシップは親リソースを介して決定されます。すべてのクラウド・サービスがNSGをサポートしているわけではありません。現在、次のタイプの親リソースはNSGの使用をサポートしています:

  • コンピュート・インスタンス: インスタンスを作成する場合、インスタンスのプライマリVNICに1つ以上のNSGを指定できます。セカンダリVNICをインスタンスに追加する場合、そのVNICに1つ以上のNSGを指定できます。既存のVNICのNSGメンバーシップを変更することもできます。

  • ロード・バランサ:ロード・バランサを作成するときに、(バックエンド・セットではなく)ロード・バランサに対して1つ以上のNS Gを指定できます。また、既存のロード・バランサを更新して、1つ以上のNSGを使用することもできます。

  • マウント・ターゲット: ファイル・システムのマウント・ターゲットを作成する場合、1つ以上のNSGを指定できます。また、既存のマウント・ターゲットを更新して、1つ以上のNSGを使用することもできます。

NSGをまだサポートしていないリソース・タイプの場合、引き続きセキュリティ・リストを使用して、それらの親リソースとの間のトラフィックを制御します。

ノート

インターネット・ゲートウェイをNSGに関連付けることはできません。

NSGには、次の2つのタイプの要素が含まれます。

  • VNIC: 1つ以上のVNIC。たとえば、コンピュート・インスタンスのセットにアタッチされたVNICで、すべて同じセキュリティ状態になります。すべてのVNICは、NSGが属するVCN内にある必要があります。VNICは、最大5つのNSGで使用できます。

  • セキュリティ・ルール:グループ内のVNICとの間で許可されるトラフィックのタイプを定義するルール。たとえば、特定のソースからのイングレスTCPポート22 SSHトラフィックなどです。

NSGの作業の一般的なプロセスは、次のとおりです。

  1. NSGを作成します。

    NSGを作成すると、最初は空になり、セキュリティ・ルールもVNICも含まれません。NSGの作成後、セキュリティ・ルールを追加または削除して、グループ内のVNICが必要とするイングレスおよびエグレス・トラフィックのタイプを許可できます。

  2. セキュリティ・ルールをNSGに追加します。

  3. NSGに親リソース(より具体的にはVNIC)を追加します。

    NSG VNICメンバーシップを管理する場合は、NSG自体ではなく親リソースの作業の一部として実行します。これは、親リソースを作成するときにこれを実行するか、または親リソースを更新して1つ以上のNS Gに追加できます。

    コンピュート・インスタンスを作成し、NSGに追加すると、インスタンスのプライマリVNICがNS Gに追加されます。セカンダリVNICは個別に作成でき、オプションでNSGに追加できます。

セキュリティ・リストと比較して、NSGのREST APIモデルにはいくつかの違いがあります:

  • セキュリティ・リストには、IngressSecurityRuleオブジェクトと個別のEgressSecurityRuleオブジェクトがあります。ネットワーク・セキュリティ・グループには、SecurityRuleオブジェクトのみが存在し、オブジェクトのdirection属性によって、ルールがイングレス・トラフィック用かエグレス・トラフィック用かが決定されます。

  • セキュリティ・リストを使用する場合、ルールはSecurityListオブジェクトの一部であり、セキュリティ・リスト操作(UpdateSecurityListなど)。をコールしてルールを使用しますNSGを使用する場合、ルールはNetworkSecurityGroupオブジェクトの一部でありません。かわりに、個別の操作を使用して特定のNS Gのルールを使用します(たとえば: UpdateNetworkSecurityGroupSecurityRules)。

  • 既存セキュリティ・ルールを更新するモデルは、セキュリティ・リストとNSGで異なります。NSGでは、特定のグループ内の各ルールに一意の識別子があります。UpdateNetworkSecurityGroupSecurityRulesをコールするときは、更新する特定のルールのIDを指定します。セキュリティ・リストを使用する場合、ルールに一意の識別子はありません。UpdateSecurityListをコールする場合、コールで更新されていないルールも含め、ルールのリスト全体を渡す必要があります。

  • セキュリティ・ルールを追加、削除または更新する操作をコールする場合、ルールは25個までに制限されています。

詳細は、ネットワーク・セキュリティ・グループによるトラフィックの制御を参照してください。