セキュリティグループとは何ですか?

セキュリティグループとは、1 つ以上の ECS インスタンスに対してネットワークアクセスを実装する仮想ファイアウォールです。 セキュリティの分離の重要な手段として、セキュリティグループはクラウド上のセキュリティドメインを論理的に分離させます。

各 ECS インスタンスは、少なくとも 1 つのセキュリティグループに属している必要があります。 ECS インスタンスを作成する際、セキュリティグループを指定する必要があります。 同じセキュリティグループにあるインスタンスは相互に通信できますが、異なるセキュリティグループにあるインスタンスは、デフォルトでは他のインスタンスから分離されています。 セキュリティグループルールを設定して、2 つのセキュリティグループ間の相互アクセスを許可することができます。 詳細は、「セキュリティグループ概要」をご参照ください。

ECS インスタンスを作成するときにセキュリティグループを選択する必要があるのはなぜですか?

ECS インスタンスを作成するときは、セキュリティグループを選択して、アプリケーション環境内でセキュリティドメインを分割し、適切なネットワークセキュリティの分離をするためにセキュリティグループルールを設定する必要があります。

セキュリティグループを作成していないリージョンの ECS コンソールで ECS インスタンスを作成すると、該当のインスタンスは自動的にデフォルトのセキュリティグループに割り当てられます。 デフォルトのセキュリティグループからインスタンスを削除し、新しいセキュリティグループに追加することを推奨します。

セキュリティグループを作成する前に ECS インスタンスを作成する場合はどうすればよいですか?

ECS インスタンスを作成する前にセキュリティグループを作成しなかった場合は、デフォルトのセキュリティグループが使用可能です。 デフォルトのセキュリティグループは、一般的なポート (TCP ポート 22、ポート 3389 等) へのアクセスを許可します。 詳細については、「セキュリティグループの概要」の「デフォルトのセキュリティグループ」セクションをご参照ください。

セキュリティグループにインスタンスを追加すると、ルールの数が制限を超えているというプロンプトが表示されるのはなぜですか?

ECS インスタンス (プライマリ ENI ) に関連付けることができるセキュリティグループルールの最大数 = インスタンスを追加できるセキュリティグループの最大数 × 各セキュリティグループのルールの最大数

[ルールの数が制限を超えています] というプロンプトが表示された場合、インスタンスに関連付けられているセキュリティグループルールの数が上限を超えています。 別のセキュリティグループを選択することを推奨します。

VPC の各セキュリティグループに含めることができる ECS インスタンスの最大数を調整した場合、それ以降に作成したセキュリティグループに対してのみ有効になりますか?

いいえ。調整前と調整後に VPC に作成したすべてのセキュリティグループに対して有効になります。

VPC で ECS インスタンスのパブリックセキュリティグループルールを設定できないのはなぜですか?

VPC のインスタンスは、内部 NIC マッピングを介した場合にのみパブリックネットワークにアクセスすることができます。このため、インスタンスではパブリック NIC が非表示になります。 したがって、インスタンスが属するセキュリティグループの内部ルールのみ設定をすることができます。 設定するセキュリティグループルールは、内部ネットワークとパブリックネットワークの両方に適用されます。

TCP ポート 25 にアクセスできないのはなぜですか?

TCP ポート 25 は、デフォルトのメールサービスポートです。 セキュリティ上の理由から、ECS インスタンスのポート 25 はデフォルトで無効になっています。 メール送信には、ポート 465 を使用することを推奨します。 その他の適用シナリオについては、「シナリオ」をご参照ください。

ポート 80 にアクセスできないのはなぜですか?

TCP ポート 80 が正常に機能しているか確認する」をご参照ください。

セキュリティグループにいくつかの内部セキュリティグループルールが自動的に追加されたのはなぜですか?

次のいずれかの理由によって、セキュリティグループにルールが自動的に追加される場合があります。

  • DMS (データ管理サービス) にアクセスしました。
  • Alibaba Cloud DTS (データ送信サービス) を使用してデータを移行しました。 DTS IP アドレスに関連付けられているルールは、セキュリティグループに自動的に追加されます。

セキュリティグループに優先度 110 のルールがあるのはなぜですか?

優先度 110 のルールがあるセキュリティグループルールはシステムによって作成されたデフォルトルールです。 デフォルトルールの優先度は、手動で追加されたセキュリティグループルールの優先度よりも必ず低くなります。 セキュリティグループルールを手動で追加する場合、優先度を 1 〜 100 の範囲内で値を設定できます。

セキュリティグループルールが正しく設定されていない場合はどうしたらよいですか?

セキュリティグループルールが正しく設定されていない場合、このルールに関連付けられた ECS インスタンスは、内部ネットワークを介して他のデバイスと通信することはできません。 例:
  • SSH を使用して Linux ECS インスタンスにリモートでアクセスしたり、RDP (リモートデスクトッププロトコル) を使用して Windows ECS インスタンスにアクセスすることはできません。
  • ECS インスタンスのパブリック IP アドレスは ping することはできません。
  • ECS インスタンスによって提供される Web サービスには、HTTP または HTTPS を介してアクセスすることはできません。
  • このルールに関連付けられた ECS インスタンスは、内部ネットワークを介して他の ECS インスタンスと通信することはできません。

セキュリティグループのインバウンドルールとアウトバウンドルールは別々にカウントされますか?

いいえ。セキュリティグループのインバウンドルールとアウトバウンドルールは合わせてカウントされます。 各セキュリティグループに合計 100 件以上のインバウンドルールとアウトバウンドルールを設けることはできません。 詳細については、制限事項をご参照ください。

セキュリティグループに追加できるルールの最大数を調整できますか?

いいえ。各セキュリティグループには最大 100件までのセキュリティグループルールを含めることができます。 ECS インスタンスの各 ENI は、デフォルトで最大 5 つのセキュリティグループに追加することができます。 したがって、ECS インスタンスの各 ENI は、最大 500 件のセキュリティグループルールに関連付けることができ、大抵のシナリオにおけるニーズを満たします。

各セキュリティグループのルールの最大数に到達後、さらにセキュリティグループルールを追加する必要がある場合は、次の手順に沿って操作します。
  1. 冗長なルールが存在するか確認してください。 または、チケットを起票して Alibaba Cloud のテクニカルサポートにお問い合わせください。
  2. 冗長ルールが存在する場合は、削除をしてから新しいセキュリティグループルールを追加します。 冗長ルールが存在しない場合は、新たなセキュリティグループを作成し、新しいセキュリティグループルールを追加します。