- 인쇄
- PDF
ACG
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
ACG(Access Control Group)는 서버 간 네트워크 접근 제어 및 관리를 할 수 있는 IP/Port 기반 필터링 방화벽 서비스입니다. ACG를 이용하면 기존 방화벽(iptables, ufw, Windows 방화벽)을 개별적으로 관리할 필요 없이 서버 그룹에 대한 ACG 규칙을 손쉽게 설정하고 관리할 수 있습니다. 네이버 클라우드 플랫폼에서 기본으로 제공하는 ACG를 사용하거나 ACG 규칙을 직접 생성해서 사용할 수 있습니다.
- ACG 이용 시 제한 사항은 다음과 같습니다.
- ACG는 VPC당 500개까지 생성할 수 있습니다.
- 네트워크 인터페이스당 3개의 ACG를 허용합니다.
- 하나의 ACG에는 Inbound 규칙과 Outbound 규칙을 각각 50개씩 생성할 수 있습니다.
기본 ACG
네이버 클라우드 플랫폼의 각 계정에는 기본 ACG가 생성되어 있습니다. 기본으로 제공하는 ACG는 다음의 기본 규칙을 따릅니다.
- 모든 들어오는 연결(inbound traffic) 차단
- 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있음)
- Default ACG 내 속한 서버 간 네트워크 양방향 통신 허용(규칙으로 추가되어 있음, 삭제 가능)
- 고객이 직접 생성한 ACG의 경우 outbound traffic에 대한 룰이 없어 모든 나가는 연결이 차단됩니다.
ACG 생성
ACG를 생성하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
- Platform 메뉴에서 VPC를 클릭하여 선택해 주십시오.
- Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- [ACG 생성] 버튼을 클릭해 주십시오.
- ACG 이름을 입력하고 VPC를 지정한 후 [생성] 버튼을 클릭해 주십시오.
- ACG가 생성되어 ACG 목록에 표시됩니다.
ACG 설정
네이버 클라우드 플랫폼이 제공하는 ACG는 기본적으로 모든 들어오는 연결(inbound traffic)을 차단하고 모든 나가는 연결(outbound traffic)은 허용합니다. ACG 설정을 변경하여 이 규칙을 변경할 수 있습니다. ACG 설정을 변경하는 방법은 다음과 같습니다.
ACG Outbound 규칙 관련 설정이 존재하지 않는 경우 서버에서 발신되는 Request 패킷이 차단될 수 있으니 주의해 주십시오.
- 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
- Platform 메뉴에서 VPC를 클릭하여 선택해 주십시오.
- Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- 규칙을 설정할 ACG를 선택한 후 [ACG 설정] 버튼을 클릭해 주십시오.
- 다음 표를 참고하여 상세 규칙을 입력한 후 [추가] 버튼을 클릭해 주십시오.
항목 설정 방법 예시 프로토콜 TCP, UDP, ICMP, PROTOCOL NUMBER 중 선택 - 접근 소스/목적지 IP 주소 또는 ACG 명 입력 - IP 주소
- 단일 IP 주소 또는 CIDR 형식으로 IP 네트워크 주소 범위를 지정
- CIDR 주소 입력 시에는 네트워크 주소를 입력하고 뒤에 슬래시(/)를 포함하여 서브넷 bits를 입력
- ACG 명
- 대상 ACG에 속한 개체 전체를 접근 소스로 지정
허용 포트 TCP, UDP의 경우 허용 포트 범위 입력 - TCP: 1~65535의 허용 포트 범위 지정 가능
- UDP: 1~65535의 허용 포트 범위 지정 가능
- ICMP, PROTOCOL NUMBER: 프로토콜 전체에 대한 허용 여부 선택만 가능
- 규칙은 100개까지 추가할 수 있습니다.
- PROTOCOL NUMBER는 IANA에서 정의된 번호를 확인할 수 있습니다.
- IP 주소
- 모든 규칙을 추가했으면 [적용] 버튼을 클릭해 주십시오.
- ACG 규칙 설정이 적용됩니다.
ACG 규칙 설정 예제
ACG 규칙 설정 시 다음의 예제를 참조해 주십시오.
특정 IP에서 ssh 서비스로 접근을 허용
프로토콜 접근 소스 허용 포트 TCP 192.168.77.17 22 특정 IP 대역에서 ssh 서비스로 접근을 허용(1)
프로토콜 접근 소스 허용 포트 TCP 192.168.77.0/24 22 특정 IP 대역에서 ssh 서비스로 접근을 허용(2)
프로토콜 접근 소스 허용 포트 TCP 192.168.77.128/25 22 Test-ACG라는 이름을 가진 ACG에 할당된 서버들 간 ssh 접근을 허용
프로토콜 접근 소스 허용 포트 TCP Test-ACG 22 로드 밸런서용 ACG인 ncloud-load-balancer를 접근 소스로 설정하여 로드 밸런서가 바인딩하는 웹 서버로의 네트워크 접근을 허용
- 로드 밸런서를 여러 개 생성하더라도 ACG 명은 동일해야 함
프로토콜 접근 소스 허용 포트 TCP ncloud-load-balancer 80 특정 IP에서 UDP 22-1025 포트로의 접근을 허용
프로토콜 접근 소스 허용 포트 UDP 192.168.77.17 22-1025 웹 서비스 전체의 접근을 허용
프로토콜 접근 소스 허용 포트 TCP 0.0.0.0/0 80
ACG 삭제
ACG를 삭제하는 방법은 다음과 같습니다.
- 동시에 여러 개의 ACG를 삭제할 수 없습니다.
- 서버에 적용된 ACG는 삭제할 수 없습니다.
- 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
- Platform 메뉴에서 VPC를 클릭하여 선택해 주십시오.
- Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- 삭제할 ACG를 선택한 후 [ACG 삭제] 버튼을 클릭해 주십시오.
- 확인 팝업 창의 내용을 확인한 후 [예] 버튼을 클릭해 주십시오.
- ACG가 삭제됩니다.