ACG

Prev Next

Classic 환경에서 이용 가능합니다.

ACG(Access Control Group)는 서버 간 네트워크 접근 제어 및 관리를 할 수 있는 IP/Port 기반 필터링 방화벽 서비스입니다. ACG를 이용하면 기존 방화벽(iptables, ufw, Windows 방화벽)을 개별적으로 관리할 필요 없이 서버 그룹에 대한 ACG 규칙을 손쉽게 설정하고 관리할 수 있습니다.
네이버 클라우드 플랫폼에서 기본으로 제공하는 ACG를 사용하거나 ACG 규칙을 직접 생성해서 사용할 수 있습니다.

참고
  • ACG 이용 시 제한 사항은 다음과 같습니다.
    • ACG는 계정당 100개까지 생성할 수 있습니다.
    • 하나의 ACG에는 규칙을 100개까지 설정할 수 있습니다.
    • 서버는 최대 5개의 ACG에 중복으로 포함될 수 있습니다.
    • 서버 생성 시 선택한 ACG는 변경할 수 없으며, 서버 반납 전까지 해당 ACG 규칙을 적용 받습니다.
  • 로드 밸런서 생성 시 로드 밸런서에 대한 ACG(ncloud-load-balancer)가 자동으로 생성됩니다. 서비스를 이용하기 위해서는 로드 밸런서가 실제 바인딩하는 서버들의 ACG에 접근 소스를 로드 밸런서로 하는 허용 규칙을 추가해야 합니다.
  • 로드 밸런서에 대한 ACG에 허용 규칙을 추가한 후 나중에 규칙을 삭제하더라도 서버에 대한 로드 밸런서의 지속적인 헬스 체크 요청이 있으면 계속해서 서버와 통신이 가능할 수 있습니다. 이 경우 연결된 로드 밸런서를 재시작함으로써 통신을 완전히 차단할 수 있습니다.

네이버 클라우드 플랫폼의 각 계정에는 기본 ACG(Default ACG)가 생성되어 있습니다. 기본 ACG는 다음의 기본 규칙을 따릅니다. 명시되어 있지 않은 규칙은 설정 내용이 보이지는 않지만 내부적으로 반영되어 처리되고 있는 규칙을 말합니다.

구분 Classic VPC
Default ACG
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
  • Default ACG 내 속한 서버 간 네트워크 양방향 통신 허용(규칙으로 추가되어 있음, 삭제 가능)
  • 원격 접속 기본 포트(Linux-22, Windows-3389)에 대한 TCP 허용(Default ACG에 규칙으로 추가되어 있음, 삭제 가능)
    		•
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
  • 원격 접속 기본 포트(Linux-22, Windows-3389)에 대한 TCP 허용(Default ACG에 규칙으로 추가되어 있음, 삭제 가능)
    		•
    Custom ACG
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
    		•

    ACG를 생성하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 Classic을 클릭하여 선택해 주십시오.
    3. Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    4. ACG 메뉴를 클릭해 주십시오.
    5. [ACG 생성] 버튼을 클릭해 주십시오.
    6. ACG 이름을 입력한 후 [생성] 버튼을 클릭해 주십시오.
      • ACG가 생성되어 ACG 목록에 표시됩니다.

    네이버 클라우드 플랫폼이 제공하는 ACG는 기본적으로 모든 들어오는 연결(inbound traffic)을 차단하고 모든 나가는 연결(outbound traffic)은 허용합니다. ACG 설정을 변경하여 이 규칙을 변경할 수 있습니다. ACG 설정을 변경하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 Classic을 클릭하여 선택해 주십시오.
    3. Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    4. ACG 메뉴를 클릭해 주십시오.
    5. 규칙을 설정할 ACG를 선택한 후 [ACG 설정] 버튼을 클릭해 주십시오.
    6. 다음 표를 참고하여 상세 규칙을 입력한 후 [추가] 버튼을 클릭해 주십시오.
      • 규칙은 100개까지 추가할 수 있습니다.
        항목 설정 방법 예시
        프로토콜 TCP, UDP, ICMP 중 선택 -
        접근 소스/목적지 IP 주소 또는 ACG 명 입력
        • IP 주소
          • 단일 IP 주소 또는 CIDR 형식으로 IP 네트워크 주소 범위를 지정
          • CIDR 주소 입력 시에는 네트워크 주소를 입력하고 뒤에 슬래시(/)를 포함하여 서브넷 bits를 입력
        • ACG 명
          • 대상 ACG 그룹에 속한 개체 전체를 접근 소스로 지정
        허용 포트(서비스) TCP, UDP의 경우 허용 포트 범위 입력
        • TCP: 1~65535의 허용 포트 범위 지정 가능
        • UDP: 1~65535의 허용 포트 범위 지정 가능
        • ICMP: 프로토콜 전체에 대한 허용 여부 선택만 가능
    7. 모든 규칙을 추가했으면 [적용] 버튼을 클릭해 주십시오.
      • ACG 규칙 설정이 적용됩니다.

    ACG 규칙 설정 시 다음의 예제를 참조해 주십시오.

    • 특정 IP에서 ssh 서비스로 접근을 허용

      프로토콜 접근 소스 허용 포트
      TCP 192.168.77.17 22

    • 특정 IP 대역에서 ssh 서비스로 접근을 허용(1)

      프로토콜 접근 소스 허용 포트
      TCP 192.168.77.0/24 22

    • 특정 IP 대역에서 ssh 서비스로 접근을 허용(2)

      프로토콜 접근 소스 허용 포트
      TCP 192.168.77.128/25 22

    • Test-ACG라는 이름을 가진 ACG에 할당된 서버들 간 ssh 접근을 허용

      프로토콜 접근 소스 허용 포트
      TCP Test-ACG 22

    • 로드 밸런서용 ACG인 ncloud-load-balancer를 접근 소스로 설정하여 로드 밸런서가 바인딩하는 웹 서버로의 네트워크 접근을 허용

      • 로드 밸런서를 여러 개 생성하더라도 ACG 명은 동일해야 함
      프로토콜 접근 소스 허용 포트
      TCP ncloud-load-balancer 80

    • 특정 IP에서 UDP 22-1025 포트로의 접근을 허용

      프로토콜 접근 소스 허용 포트
      UDP 192.168.77.17 22-1025

    • 웹 서비스에 대해서 전체 대상으로 오픈

      프로토콜 접근 소스 허용 포트
      TCP 0.0.0.0/0 80

    ACG를 삭제하는 방법은 다음과 같습니다.

    참고
    • 동시에 여러 개의 ACG를 삭제할 수 없습니다.
    • 서버에 적용된 ACG는 삭제할 수 없습니다.
    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 Classic을 클릭하여 선택해 주십시오.
    3. Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    4. ACG 메뉴를 클릭해 주십시오.
    5. 삭제할 ACG를 선택한 후 [ACG 삭제] 버튼을 클릭해 주십시오.
    6. 확인 팝업 창의 내용을 확인한 후 [예] 버튼을 클릭해 주십시오.
      • ACG가 삭제됩니다.