- 初心者ガイド
- お知らせ・リリースノート
- 製品の動向
- パブリックイメージのリリースノート
- お知らせ
- CentOS 7用の一部のイメージ Pip パッケージ管理ツールの更新のお知らせ
- CentOS 8サポート終了についてのお知らせ
- SUSE商用版イメージのサポート終了のお知らせ
- 複数のアベイラビリティーゾーンのCVM価格改定(値下げ)のお知らせ
- OrcaTermプロキシIPアドレスの更新についてのお知らせ
- シリコンバレー地域の標準型S3 CVMの価格調整
- Tencent Cloudの Linux イメージ長期脆弱性のリカバリポリシーのお知らせ
- Ubuntu10.04イメージのオフラインおよび既存リポジトリ設定に関するお知らせ
- Ubuntu14.04 が Tomcat を起動できないのソリューションについてのお知らせ
- Windows のCVMが Virtio ENIドライバーをアップグレードすることについてのお知らせ
- セキュリティグループの53ポートの設定に関するお知らせ
- Windows Server 2003 システムイメージをサポートしないことについてのお知らせ
- Windows Server 2008 R2 Enterprise Edition SP1 64ビットシステムイメージのサポート終了のお知らせ
- 製品紹介
- 購入ガイド
- クイックスタート
- 操作ガイド
- 操作ガイド一覧
- ご利用制限一覧
- 便利な機能
- インスタンス
- インスタンスを作成
- インスタンス起動テンプレートの管理
- 一括連続命名または指定文字列パターン命名
- Linuxインスタンスにログインする
- Windowsインスタンスにログインする
- 設定を調整する
- 情報の確認
- インスタンスの名前変更
- インスタンスのパスワードのリセット方法
- インスタンス IP アドレスを管理する
- インスタンスのサブネットの変更
- セキュリティグループの変更
- 従量課金インスタンスの年額・月額課金への変換
- インスタンスの検索
- インスタンスリストのエクスポート
- インスタンスの起動
- インスタンスのシャットダウン
- インスタンスの再起動
- インスタンスの休止
- システムをリインストールする
- TATを使用してコマンドを実行し
- インスタンスの破棄/返却
- インスタンスの削除保護の有効化
- インスタンスを回収する又はインスタンスの復元
- スポットインスタンスの管理
- スポットインスタンスの回収状態を確認する
- 停止済み従量課金インスタンスの非課金化
- インスタンスロールの管理
- リザーブドインスタンス
- イメージ
- サービス移行
- メンテナンスタスク
- Cloud Block Storage
- ネットワーク
- セキュリティ
- タグ
- 監視とアラーム
- Cloud Access Managementの例
- ベストプラクティス
- CVMに対する最高実践
- CVMタイプ選択のベストプラクティス
- ウェブサイトの構築方法
- 環境構築
- ウェブサイトの構築
- アプリケーションの構築
- ビジュアルインターフェイスを作成
- データバックアップ
- ローカルファイルをCVMにアップロードします
- ローカルファイルをCVMにコピーする方法
- WindowsシステムはMSTSCを介してWindows CVMにファイルをアップロードします
- MRDを介してMacOSからWindows CVMにファイルをアップロード
- LinuxシステムはRDPを介してWindows CVMにファイルをアップロードします
- WinSCPを介してWindowsからLinux CVMにファイルをアップロード
- LinuxまたはMacOSマシンでSCPを介してファイルをLinux CVMにアップロード
- LinuxシステムはFTP経由でファイルをCVMにアップロード
- Windows OSからFTPを利用して、CVMにファイルをアップロードする
- その他のCVM操作
- CVMのプライベートネットワークによるCOSへのアクセス
- Linux CVMでのデータリカバリ
- Windows CVMでのディスク容量の管理
- Linuxインスタンスのカーネルを手動で変更する
- Cloud Virtual MachineによるWindowsシステムのADドメインの構築
- ネットワーク性能のテスト
- 高スループットネットワークパフォーマンステスト
- LinuxでUSB/IPを使用してUSBデバイスを共有する
- Windowsインスタンス:CPUまたはメモリの使用率が高いため、CVMにログインできない
- CVMでAVX512を介して人工知能アプリケーションをアクセラレーションします
- Tencent SGXコンフィデンシャル・コンピューティング環境の構築
- M6pインスタンスによる永続メモリの構成
- Python 経由でクラウド API を呼び出してカスタムイメージを一括共有
- メンテナンスガイド
- トラブルシューティング
- インスタンス関連障害
- CVMインスタンスにログインできない原因や対処法
- Windowsインスタンス関連
- Windows のインスタンスにログインできない
- Windowsインスタンス:認証エラーが発生した
- CVMパスワードリセット失敗、またはパスワードが無効
- Windows インスタンス:リモートデスクトップサービスを使ったログオンを拒否
- Windowsインスタンス:ネットワークレベルの認証が必要
- Windowsインスタンス:Macリモートログイン異常
- Windowsインスタンス:CPUまたはメモリの使用率が高いためログインできない
- Windowsインスタンス:リモートデスクトップでリモートパソコンに接続できない
- Windowsインスタンス:お使いの資格情報は機能しませんでした
- Windows インスタンス:ポート問題が原因でリモートログインできない
- Linuxインスタンス関連
- Linuxインスタンス登録失敗
- LinuxインスタンスをSSHで登録できない
- Linuxインスタンス:CPUまたはメモリの使用率が高いためログインできない
- Linuxインスタンス:ポートの問題によるログインができない
- Linuxインスタンス:VNCログインエラー Module is unknown
- Linuxインスタンス:VNCログインエラー Account locked due to XXX failed logins
- Linuxインスタンス:VNCへのログインに正しいパスワードを入力しても応答がありません
- Linuxインスタンス:VNCまたはSSHログインエラー Permission denied
- Linuxインスタンス:/etc/fstabの設定エラーによるログイン不能
- Linuxインスタンス:sshd設定ファイル権限に関する問題
- Linuxインスタンス:/etc/profile コールが無限ループする場合
- サーバーが隔離されたためログインできない
- 帯域幅の利用率が高いためログインできない
- セキュリティグループの設定が原因でリモート接続できない
- LinuxインスタンスのVNC使用およびレスキューモードを使用したトラブルシューティング
- CVMの再起動またはシャットダウンは失敗しましたの原因と対処
- Network Namespaceを作成できない
- カーネルおよび IO 関連問題
- システムbinまたはlibソフトリンクの欠如
- CVMにウイルス侵入が疑われる場合
- ファイル作成のエラー no space left on device
- ネットワーク関連の故障
- インスタンス関連障害
- API リファレンス
- History
- Introduction
- API Category
- Making API Requests
- Region APIs
- Instance APIs
- DescribeInstances
- DescribeInstanceFamilyConfigs
- DescribeZoneInstanceConfigInfos
- DescribeInstanceTypeConfigs
- DescribeInstancesOperationLimit
- DescribeInstanceVncUrl
- InquiryPriceRunInstances
- InquiryPriceResetInstance
- InquiryPriceResetInstancesType
- InquiryPriceResizeInstanceDisks
- RunInstances
- StartInstances
- RebootInstances
- StopInstances
- ResetInstance
- TerminateInstances
- ResetInstancesType
- ResizeInstanceDisks
- ResetInstancesPassword
- ModifyInstancesAttribute
- ModifyInstancesProject
- InquirePricePurchaseReservedInstancesOffering
- DescribeReservedInstancesConfigInfos
- DescribeInstancesStatus
- PurchaseReservedInstancesOffering
- Cloud Hosting Cluster APIs
- Placement Group APIs
- Image APIs
- Key APIs
- Security Group APIs
- Network APIs
- Instance Launch Template APIs
- Data Types
- Error Codes
- よくある質問
- 用語表
- 初心者ガイド
- お知らせ・リリースノート
- 製品の動向
- パブリックイメージのリリースノート
- お知らせ
- CentOS 7用の一部のイメージ Pip パッケージ管理ツールの更新のお知らせ
- CentOS 8サポート終了についてのお知らせ
- SUSE商用版イメージのサポート終了のお知らせ
- 複数のアベイラビリティーゾーンのCVM価格改定(値下げ)のお知らせ
- OrcaTermプロキシIPアドレスの更新についてのお知らせ
- シリコンバレー地域の標準型S3 CVMの価格調整
- Tencent Cloudの Linux イメージ長期脆弱性のリカバリポリシーのお知らせ
- Ubuntu10.04イメージのオフラインおよび既存リポジトリ設定に関するお知らせ
- Ubuntu14.04 が Tomcat を起動できないのソリューションについてのお知らせ
- Windows のCVMが Virtio ENIドライバーをアップグレードすることについてのお知らせ
- セキュリティグループの53ポートの設定に関するお知らせ
- Windows Server 2003 システムイメージをサポートしないことについてのお知らせ
- Windows Server 2008 R2 Enterprise Edition SP1 64ビットシステムイメージのサポート終了のお知らせ
- 製品紹介
- 購入ガイド
- クイックスタート
- 操作ガイド
- 操作ガイド一覧
- ご利用制限一覧
- 便利な機能
- インスタンス
- インスタンスを作成
- インスタンス起動テンプレートの管理
- 一括連続命名または指定文字列パターン命名
- Linuxインスタンスにログインする
- Windowsインスタンスにログインする
- 設定を調整する
- 情報の確認
- インスタンスの名前変更
- インスタンスのパスワードのリセット方法
- インスタンス IP アドレスを管理する
- インスタンスのサブネットの変更
- セキュリティグループの変更
- 従量課金インスタンスの年額・月額課金への変換
- インスタンスの検索
- インスタンスリストのエクスポート
- インスタンスの起動
- インスタンスのシャットダウン
- インスタンスの再起動
- インスタンスの休止
- システムをリインストールする
- TATを使用してコマンドを実行し
- インスタンスの破棄/返却
- インスタンスの削除保護の有効化
- インスタンスを回収する又はインスタンスの復元
- スポットインスタンスの管理
- スポットインスタンスの回収状態を確認する
- 停止済み従量課金インスタンスの非課金化
- インスタンスロールの管理
- リザーブドインスタンス
- イメージ
- サービス移行
- メンテナンスタスク
- Cloud Block Storage
- ネットワーク
- セキュリティ
- タグ
- 監視とアラーム
- Cloud Access Managementの例
- ベストプラクティス
- CVMに対する最高実践
- CVMタイプ選択のベストプラクティス
- ウェブサイトの構築方法
- 環境構築
- ウェブサイトの構築
- アプリケーションの構築
- ビジュアルインターフェイスを作成
- データバックアップ
- ローカルファイルをCVMにアップロードします
- ローカルファイルをCVMにコピーする方法
- WindowsシステムはMSTSCを介してWindows CVMにファイルをアップロードします
- MRDを介してMacOSからWindows CVMにファイルをアップロード
- LinuxシステムはRDPを介してWindows CVMにファイルをアップロードします
- WinSCPを介してWindowsからLinux CVMにファイルをアップロード
- LinuxまたはMacOSマシンでSCPを介してファイルをLinux CVMにアップロード
- LinuxシステムはFTP経由でファイルをCVMにアップロード
- Windows OSからFTPを利用して、CVMにファイルをアップロードする
- その他のCVM操作
- CVMのプライベートネットワークによるCOSへのアクセス
- Linux CVMでのデータリカバリ
- Windows CVMでのディスク容量の管理
- Linuxインスタンスのカーネルを手動で変更する
- Cloud Virtual MachineによるWindowsシステムのADドメインの構築
- ネットワーク性能のテスト
- 高スループットネットワークパフォーマンステスト
- LinuxでUSB/IPを使用してUSBデバイスを共有する
- Windowsインスタンス:CPUまたはメモリの使用率が高いため、CVMにログインできない
- CVMでAVX512を介して人工知能アプリケーションをアクセラレーションします
- Tencent SGXコンフィデンシャル・コンピューティング環境の構築
- M6pインスタンスによる永続メモリの構成
- Python 経由でクラウド API を呼び出してカスタムイメージを一括共有
- メンテナンスガイド
- トラブルシューティング
- インスタンス関連障害
- CVMインスタンスにログインできない原因や対処法
- Windowsインスタンス関連
- Windows のインスタンスにログインできない
- Windowsインスタンス:認証エラーが発生した
- CVMパスワードリセット失敗、またはパスワードが無効
- Windows インスタンス:リモートデスクトップサービスを使ったログオンを拒否
- Windowsインスタンス:ネットワークレベルの認証が必要
- Windowsインスタンス:Macリモートログイン異常
- Windowsインスタンス:CPUまたはメモリの使用率が高いためログインできない
- Windowsインスタンス:リモートデスクトップでリモートパソコンに接続できない
- Windowsインスタンス:お使いの資格情報は機能しませんでした
- Windows インスタンス:ポート問題が原因でリモートログインできない
- Linuxインスタンス関連
- Linuxインスタンス登録失敗
- LinuxインスタンスをSSHで登録できない
- Linuxインスタンス:CPUまたはメモリの使用率が高いためログインできない
- Linuxインスタンス:ポートの問題によるログインができない
- Linuxインスタンス:VNCログインエラー Module is unknown
- Linuxインスタンス:VNCログインエラー Account locked due to XXX failed logins
- Linuxインスタンス:VNCへのログインに正しいパスワードを入力しても応答がありません
- Linuxインスタンス:VNCまたはSSHログインエラー Permission denied
- Linuxインスタンス:/etc/fstabの設定エラーによるログイン不能
- Linuxインスタンス:sshd設定ファイル権限に関する問題
- Linuxインスタンス:/etc/profile コールが無限ループする場合
- サーバーが隔離されたためログインできない
- 帯域幅の利用率が高いためログインできない
- セキュリティグループの設定が原因でリモート接続できない
- LinuxインスタンスのVNC使用およびレスキューモードを使用したトラブルシューティング
- CVMの再起動またはシャットダウンは失敗しましたの原因と対処
- Network Namespaceを作成できない
- カーネルおよび IO 関連問題
- システムbinまたはlibソフトリンクの欠如
- CVMにウイルス侵入が疑われる場合
- ファイル作成のエラー no space left on device
- ネットワーク関連の故障
- インスタンス関連障害
- API リファレンス
- History
- Introduction
- API Category
- Making API Requests
- Region APIs
- Instance APIs
- DescribeInstances
- DescribeInstanceFamilyConfigs
- DescribeZoneInstanceConfigInfos
- DescribeInstanceTypeConfigs
- DescribeInstancesOperationLimit
- DescribeInstanceVncUrl
- InquiryPriceRunInstances
- InquiryPriceResetInstance
- InquiryPriceResetInstancesType
- InquiryPriceResizeInstanceDisks
- RunInstances
- StartInstances
- RebootInstances
- StopInstances
- ResetInstance
- TerminateInstances
- ResetInstancesType
- ResizeInstanceDisks
- ResetInstancesPassword
- ModifyInstancesAttribute
- ModifyInstancesProject
- InquirePricePurchaseReservedInstancesOffering
- DescribeReservedInstancesConfigInfos
- DescribeInstancesStatus
- PurchaseReservedInstancesOffering
- Cloud Hosting Cluster APIs
- Placement Group APIs
- Image APIs
- Key APIs
- Security Group APIs
- Network APIs
- Instance Launch Template APIs
- Data Types
- Error Codes
- よくある質問
- 用語表
セキュリティグループの設定は、Cloud Virtual Machines(CVM)へのアクセスを管理するために使用され、セキュリティグループのインバウンドとアウトバウンドルールを設定することにより、お客様のCVMにアクセスできるかまたは他のネットワークリソースにアクセスできるかどうかを設定できます。
デフォルトでは、セキュリティグループのインバウンドとアウトバウンドルールは次のとおりです。
データセキュリティのため、セキュリティグループのインバウンドルールは拒否ポリシーであり、外部ネットワークへのリモートアクセスを禁止します。CVMに外部からアクセスする必要がある場合は、対応するポートのインバウンドルールを許可にする必要があります。
セキュリティグループのアウトバウンドルールは、お客様のCVMが外部ネットワークリソースにアクセスできるかどうかを設定するために用います。「すべてのポートを開放する」または「ポート22、80、443、3389を開放し、ICMPプロトコルを許可する」を選択した場合、セキュリティグループのアウトバウンドルールはすべてのポートを開放します。カスタムセキュリティグループルールを選択した場合、アウトバウンドルールはデフォルトで「すべて拒否」となるので、対応するポートのアウトバウンドルールを許可にして、外部ネットワークリソースにアクセスできるようにする必要があります。
一般的なユースケース
このドキュメントでは、セキュリティグループのいくつかの一般的なユースケースを紹介します。以下のケースが要件を満たしている場合は、対応するユースケースの推奨設定に従ってセキュリティグループを直接設定できます。
シナリオ1:SSH経由でLinux CVMにリモート接続する
事例:Linux CVMを作成し、SSH経由でCVMにリモート接続したい場合。
解決策:セキュリティグループルールの追加 を行うときに、「タイプ」で「Linuxログイン」を選択し、ソースがWebShellプロキシIPであるプロトコルポート22を開放し、LinuxSSHログインを許可します。
また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、SSH経由でCVMにリモート接続できるIPソースを設定することもできます。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド方向 | Linuxログイン | すべてのIP:0.0.0.0/0 WebShellプロキシIP:詳細については、OrcatermプロキシIPアドレスの置き換えに関する通知 をご参照ください IPの指定:指定するIPまたはIPセグメントを入力します | TCP:22 | 許可 |
シナリオ2:RDP経由でWindows CVMにリモート接続する
事例:Windows CVMを作成し、RDP経由でCVMにリモート接続したい場合。
解決策:セキュリティグループルールの追加 を行うときに、「タイプ」で「Windowsログイン」を選択し、ソースがWebRDPプロキシIPのプロトコルポート3389を開放し、Windowsリモートログインを許可します。
また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、RDP経由でCVMにリモート接続できるIPソースを設定することもできます。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド方向 | Windowsログイン | すべてのIP:0.0.0.0/0 WebRDPプロキシIP: 81.69.102.0/24 106.55.203.0/24 101.33.121.0/24 101.32.250.0/24 IPの指定:指定するIPまたはIPセグメントを入力します | TCP:3389 | 許可 |
シナリオ3:パブリックネットワークがCVMにpingできるようにする
事例:CVMを構築し、このCVMと他のCVM間の通信ステータスが正常であるかどうかをテストしたい場合。
解決策:pingプログラムを使用してテストを行います。手順は、セキュリティグループルールの追加 を行うときに、「タイプ]で「Ping」を選択し、ICMPプロトコルポートを開放して、その他のCVMがICMPプロトコルを介してCVMにアクセスすることを許可します。
また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、ICMPプロトコルを介したCVMへのアクセスを許可するIPソースを設定することもできます。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | Ping | すべての IP:0.0.0.0/0 IPを指定:指定したIPまたはIPセグメントを入力します | ICMP | 許可 |
シナリオ4:Telnetを介してCVMにリモートログイン
事例:Telnetを介してCVMにリモートログインしたい場合。
解決策:Telnetを介してCVMにリモートログインする必要がある場合は、セキュリティグループルールの追加 を行うときに、以下のセキュリティグループのルールを設定する必要があります。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド方向 | カスタマイズ | すべての IP:0.0.0.0/0 IPを指定:指定したIPまたはIPセグメントを入力します | TCP:23 | 許可 |
シナリオ5:HTTPまたはHTTPSを介してWebサービスへのアクセスを開く
事例:お客様がウェブサイトを構築し、ユーザーにHTTPまたはHTTPSを介してお客様が構築したウェブサイトにアクセスしてほしい場合。
解決策:HTTPまたはHTTPSを介してCVMにアクセスする必要がある場合は、セキュリティグループルールの追加 を行うときに、実際のニーズに応じて以下のセキュリティグループのルールを設定する必要があります。
パブリックネットワーク上のすべてのIPにこのウェブサイトへのアクセスを許可します
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | HTTP(80) | 0.0.0.0/0 | TCP:80 | 許可 |
インバウンド | HTTPS(443) | 0.0.0.0/0 | TCP:443 | 許可 |
パブリックネットワークの一部のIPアドレスがこのウェブサイトへのアクセスを許可します。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | HTTP(80) | ウェブサイトへのアクセスが許可されているIPアドレスまたはIPアドレスセグメント | TCP:80 | 許可 |
インバウンド | HTTPS(443) | ウェブサイトへのアクセスが許可されているIPアドレスまたはIPアドレスセグメント | TCP:443 | 許可 |
シナリオ6:外部IPが指定ポートにアクセスすることを許可する
事例:業務をデプロイした後、指定されたサービスポート(例:1101)に外部からアクセスできるようにしたい場合。
解決策:セキュリティグループルールの追加 を行うときに、「タイプ」で「カスタム」を選択し、プロトコルポート1101を開放して、指定された業務ポートへの外部アクセスを許可します。
また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、指定されたサービスポートのIPソースへのアクセスを許可することもできます。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | カスタマイズ | すべてのIP:0.0.0.0/0 IPを指定:指定したIPまたはIPセグメントを入力します | TCP:1101 | 許可 |
シナリオ7:外部IPアドレスから指定したポートへのアクセスを拒否する
事例:業務をデプロイした後、指定されたサービスポート(例:1102)に外部からアクセスされないようにしたい場合。
解決策:セキュリティグループルールの追加 を行うときに、「タイプ」で「カスタム」を選択し、プロトコルポート1102を構成し、「ポリシー」を「拒否」に設定して、指定されたサービスポートへの外部アクセスを拒否します。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | カスタマイズ | すべてのIP:0.0.0.0/0 IPを指定:指定したIPまたはIPセグメントを入力します | TCP:1102 | 拒否 |
シナリオ8:CVMが特定の外部IPへのアクセスのみを許可
事例:CVMが特定の外部IPアドレスのみアクセスできるようにします。
ソリューション:以下の設定を参照し、次の2つのアウトバンドのセキュリティグループルールを追加します。
CVMインスタンスが特定の外部IPアドレスにアクセスできるようにします。
インスタンスが任意のプロトコルを介してパブリックIPアドレスにアクセスすることを禁止します。
ご注意:
アクセスを許可するルールは、アクセスを拒否するルールより優先する必要があります。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
アウトバンド | カスタマイズ | CVMがアクセスできる特定のパブリックIPアドレス | 必要なプロトコルとポート | 許可 |
アウトバンド | カスタマイズ | 0.0.0.0/0 | ALL | 拒否 |
シナリオ9:CVMが特定の外部IPにアクセスすることを拒否する
事例:CVMが外部の特定のIPアドレスにアクセスできないようにします。
解決策:次の構成を参照して、セキュリティグループルールを追加してください。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
アウトバンド | カスタマイズ | インスタンスからのアクセスを拒否する特定のパブリックIPアドレス | ALL | 拒否 |
シナリオ10:FTPを使用してファイルをアップロードまたはダウンロードする
事例:FTPソフトウェアを利用して、CVMにファイルをアップロードまたはダウンロードする場合。
解決策:次の構成を参照して、セキュリティグループルールを追加してください。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | カスタマイズ | 0.0.0.0/0 | TCP:20-21 | 許可 |
複数シーンの組み合わせ
実際のシナリオでは、業務ニーズに応じて複数のセキュリティグループルールを設定する必要がある可能性があります。例えば、インバウンドルールまたはアウトバウンドルールを同時に設定します。CVM1台は、1つまたは複数のセキュリティグループにバインドできます。CVMが複数のセキュリティグループにバインドされている場合、複数のセキュリティグループが上から下に順番にマッチングが実行されます。セキュリティグループの優先度はいつでも変更できます。セキュリティグループルールの優先度の説明については、ルールの優先度の説明 をご参照ください。
はい
いいえ
この記事はお役に立ちましたか?