QUICKGUARD ホームページ >

はじめて使う 「GMOクラウド Basicシリーズ」 第4回

2015.02.25

最近、安定していて絶好調のGMOクラウドについての第4回の記事
となります。今回は、ファイヤーウォールのポリシー設定について
書きたいと思います。

CloudStackベースのIDCFクラウドに比べるとわかりやすい画面に
なっています。個人的には好きですが、好みは人それぞれなので、
なんとも言えないところです(笑)

さて、第2回の仮想サーバ作成の時にも触れたのですが、一番最初
にネットワークのセキュリティグループを作成するのが重要です。

このセキュリティグループで、基本的なファイヤーウォールの
ポリシーが設定されます。

まずは、コンソール画面から[ネットワーク]を選択して、左上の
タブから[セキュリティグループ]を選択します。
第4回ネットワーク1

下記のように登録されている[セキュリティグループ]の一覧が表示
されます。Defaultは、用途がわかりずらくなるので使わずに、
分かりやすい名前を付ける事をお勧めします。

第4回ネットワーク2

設定したい[セキュリティグループ]をクリックすると下記の画面に
移ります。[Ingress Rule]が外部から内部への通信、[Egress rule]
が内部から外部への通信の設定になります。

日本語だと[Ingress Rule]が受信規則、[Egress rule]が送信規則と
なっています。
Egressの方のruleのRはなぜか大文字ではありません(笑)

第4回ネットワーク3

下記は、お試しで4つルールを登録してある画面になります。
プロトコルを選択して、あとはポート番号を入力するだけです。
WEB公開の場合は、開始ポートも終了ポートも80を入力すれば、
完了です。特定のIPからの接続でない場合には、0.0.0.0/0
を入力すれば許可されます。特定のIPアドレスの場合には、
192.168.10.111/32のように設定すれば大丈夫です。

第4回ネットワーク4

あと、グローバルを経由しない内部通信を許可したい場合の設定
を紹介します。主にWEBからDBへのアクセスなどを許可する際に、
利用する方が多いと思います。

内部通信では、セキュリティグループ同士の通信を許可する形で
許可する仕様になっています。下記のように赤字の部分を確認して
おきます。

第4回ネットワーク5

左上の[Add by]のチェックBOXを[CIDR]から[Account]に変更します。
今回はICMPを許可する設定例を記載します。ちょっとわかりづらい
のは、アカウントとセキュリティグループを記載する部分ですが、
上記で確認した名前とアカウントの情報を、冗談にアカウントを
入力して、下段にセキュリティグループの名前を入力します。

第4回ネットワーク6

成功すると下記のようにCIDRのルールとは異なった形式で、ルールが
追加されます。

第4回ネットワーク7

本日はここまでになります。何か不明点や間違いなど見つかりましたら、
ご連絡頂ければと思います。