tencent cloud

Cloud Load Balancer

動向とお知らせ
製品アップデート情報
製品に関するお知らせ
製品の説明
製品概要
製品の優位性
ユースケース
技術原理
Product Comparison
使用上の制約
Service Regions and Service Providers
購入ガイド
課金概要
課金項目
購入方法
支払い延滞の説明
製品属性の選択
クイックスタート
ドメイン名型CLBクイックスタート
CLBクイックスタート
IPv6 CLBクイックスタート
CentOSにおけるNginxのデプロイ
CentOSにおけるJava Webのデプロイ
操作ガイド
CLBインスタンス
CLBリスナー
バックエンドサーバー
ヘルスチェック
証明書管理
ログ管理
監視アラート
Cloud Access Management
従来型CLB
プラクティスチュートリアル
証明書をCLBに配置(双方向認証)
CLBのGzip有効化設定およびチェック方法の説明
HTTPS転送設定スタートガイド
クライアントリアルIPの取得方法
ロードバランサーのモニタリングアラート設定のベストプラクティス
マルチアベイラビリティーゾーンの高可用性設定の説明
バランシングアルゴリズムの選択と重みの設定の例
CLBのリスニングドメイン名に対してWebセキュリティ保護を実行するようにWAFを設定する
メンテナンスガイド
クライアントのtimewaitが多すぎる場合の対処方法
CLBのHTTPSサービスパフォーマンステスト
ストレステストに関するよくあるご質問
CLB証明書の操作権限に関するご質問
障害処理
UDPヘルスチェックの異常
API リファレンス
History
Introduction
API Category
Instance APIs
Listener APIs
Backend Service APIs
Target Group APIs
Redirection APIs
Other APIs
Classic CLB APIs
Load Balancing APIs
Making API Requests
Data Types
Error Codes
CLB API 2017
よくあるご質問
課金関連
CLB設定関連
ヘルスチェック異常調査
HTTPS関連
WS/WSSプロトコルサポート関連
HTTP/2プロトコルサポート関連
連絡先
用語集
ドキュメントCloud Load Balancer操作ガイドバックエンドサーバーバックエンドCVMのセキュリティグループ設定

バックエンドCVMのセキュリティグループ設定

PDF
フォーカスモード
フォントサイズ
最終更新日: 2024-01-04 18:36:26

CVMセキュリティグループの概要

CLBのバックエンドCVMインスタンスはセキュリティグループによってアクセスを制御し、ファイアウォールの役割をさせることができます。 1つまたは複数のセキュリティグループをバックエンドCVMと関連付け、さらに各セキュリティグループに1つまたは複数のルールを追加することで、さまざまなサーバーのトラフィックアクセス権限を制御することができます。セキュリティグループのルールはいつでも変更でき、新ルールはそのセキュリティグループに関連付けられたすべてのインスタンスに自動的に適用されます。その他の情報に関しては、セキュリティグループ操作ガイドをご参照ください。VPC 環境では、ネットワークACLを使用してアクセス制御を行うこともできます。

CVMセキュリティグループ設定の説明

CVMセキュリティグループでは、Client IPおよびサービスポートを開放する必要があります。 CLBを使用して業務トラフィックをCVMに転送する場合、ヘルスチェック機能を保障するため、CVMセキュリティグループに次の設定を行う必要があります。
1. パブリックネットワークCLB:バックエンドCVMのセキュリティグループでCLBのVIPを開放する必要がある場合、CLBはVIPを使用してバックエンドCVMのヘルスステータスをチェックします。
2. プライベートネットワークCLB:
プライベートネットワークCLB(旧「アプリケーション型プライベートネットワークCLB」)については、CLBがVPCネットワークにある場合、 バックエンドCVMのセキュリティグループ上でCLBのVIP(ヘルスチェック用)を開放する必要があります。CLBが基幹ネットワークにある場合は、バックエンドCVMのセキュリティグループ上で設定を行う必要はなく、ヘルスチェックIPがデフォルトで開放されています。

CVMセキュリティグループ設定の例

次の例は、CLBからCVMにアクセスする場合の、CVMセキュリティグループの設定例です。CLB上でもセキュリティグループを設定する場合は、CLBセキュリティグループの設定 をご参照の上、CLB上のセキュリティグループルールを設定してください。
ユースケース1: パブリックネットワークCLBで、リスナーをTCP:80リスナーに、バックエンドサービスポートを8080にそれぞれ設定し、Client IP(ClientA IPおよびClientB IP)にのみCLBへのアクセスを許可したい場合、バックエンドサーバーセキュリティグループのインバウンドルールの設定は次のようになります。
ClientA IP + 8080 allow
ClientB IP + 8080 allow
CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop
ユースケース2: パブリックネットワークCLBで、リスナーをHTTP:80リスナーに、バックエンドサービスポートを8080にそれぞれ設定し、すべてのClient IPに正常なアクセスを開放したい場合、バックエンドサーバーセキュリティグループのインバウンドルールの設定は次のようになります。
0.0.0.0/0 + 8080 allow
ユースケース3: プライベートネットワークCLB(旧「アプリケーション型プライベートネットワークCLB」)で、ネットワークタイプがVPCネットワークの場合に、CVMのセキュリティグループ上でCLBのVIPを開放してヘルスチェックを行う必要があるとします。このCLBにTCP:80リスナーを設定し、バックエンドサービスポートを8080とし、Client IP(ClientA IPおよびClientB IP)にのみCLBのVIPへのアクセスを許可し、なおかつClient IPがそのCLBにバインドされたバックエンドホストにのみアクセスできるよう制限したい場合です。 a. バックエンドサーバーセキュリティグループのインバウンドルールの設定は次のようになります。
ClientA IP + 8080 allow
ClientB IP + 8080 allow
CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop
b. Clientとして用いるサーバーのセキュリティグループのアウトバウンドルールの設定は次のようになります。
CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop
ユースケース4:ブラックリスト ユーザーがいくつかのClient IPをブラックリストに設定し、そのアクセスを拒否したい場合は、クラウドサービスに関連付けたセキュリティグループによって実現することができます。セキュリティグループのルールは次の手順に従って設定する必要があります。
アクセスを拒否したいClient IP + ポートをセキュリティグループに追加し、ポリシー欄でこのIPからのアクセス拒否を選択します。
設定完了後、セキュリティグループルールを1つ追加し、このポートを全IPからのアクセスにデフォルトで開放します。 設定完了後、セキュリティグループルールは次のようになります。
clientA IP + port drop
clientB IP + port drop
0.0.0.0/0  + port accept
注意:
上記の設定手順には順序要件があります。順序を逆にすると、ブラックリストの設定が無効になります。
セキュリティグループはステートフルであるため、上記の設定はいずれもインバウンドルールの設定となり、アウトバウンドルールは特に設定する必要はありません。

CVMセキュリティグループの操作ガイド

コンソールを使用してバックエンドサーバーセキュリティグループを管理する

1. CLBコンソールにログインし、該当するCLBインスタンスIDをクリックしてCLB詳細ページに進みます。
2. CLBにバインドしたCVMのページで、該当するバックエンドサーバーIDをクリックしてCVM詳細ページに進みます。
3. セキュリティグループのオプションタブをクリックすると、セキュリティグループのバインド/バインド解除を行うことができます。

Tencent Cloud APIを使用してバックエンドサーバーセキュリティグループを管理する

前の記事へ: ハイブリッドクラウドのデプロイ次の記事へ: ヘルスチェックの概要

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック