ACG
    • PDF

    ACG

    • PDF

    기사 요약

    Classic 환경에서 이용 가능합니다.

    ACG(Access Control Group)는 서버 간 네트워크 접근 제어 및 관리를 할 수 있는 IP/Port 기반 필터링 방화벽 서비스입니다. ACG를 이용하면 기존 방화벽(iptables, ufw, Windows 방화벽)을 개별적으로 관리할 필요 없이 서버 그룹에 대한 ACG 규칙을 손쉽게 설정하고 관리할 수 있습니다.
    네이버 클라우드 플랫폼에서 기본으로 제공하는 ACG를 사용하거나 ACG 규칙을 직접 생성해서 사용할 수 있습니다.

    참고
    • ACG 이용 시 제한 사항은 다음과 같습니다.
      • ACG는 계정당 100개까지 생성할 수 있습니다.
      • 하나의 ACG에는 규칙을 100개까지 설정할 수 있습니다.
      • 서버는 최대 5개의 ACG에 중복으로 포함될 수 있습니다.
      • 서버 생성 시 선택한 ACG는 변경할 수 없으며, 서버 반납 전까지 해당 ACG 규칙을 적용 받습니다.
    • 로드 밸런서 생성 시 로드 밸런서에 대한 ACG(ncloud-load-balancer)가 자동으로 생성됩니다. 서비스를 이용하기 위해서는 로드 밸런서가 실제 바인딩하는 서버들의 ACG에 접근 소스를 로드 밸런서로 하는 허용 규칙을 추가해야 합니다.
    • 로드 밸런서에 대한 ACG에 허용 규칙을 추가한 후 나중에 규칙을 삭제하더라도 서버에 대한 로드 밸런서의 지속적인 헬스 체크 요청이 있으면 계속해서 서버와 통신이 가능할 수 있습니다. 이 경우 연결된 로드 밸런서를 재시작함으로써 통신을 완전히 차단할 수 있습니다.

    기본 ACG

    네이버 클라우드 플랫폼의 각 계정에는 기본 ACG(Default ACG)가 생성되어 있습니다. 기본 ACG는 다음의 기본 규칙을 따릅니다. 명시되어 있지 않은 규칙은 설정 내용이 보이지는 않지만 내부적으로 반영되어 처리되고 있는 규칙을 말합니다.

    구분ClassicVPC
    Default ACG
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
  • Default ACG 내 속한 서버 간 네트워크 양방향 통신 허용(규칙으로 추가되어 있음, 삭제 가능)
  • 원격 접속 기본 포트(Linux-22, Windows-3389)에 대한 TCP 허용(Default ACG에 규칙으로 추가되어 있음, 삭제 가능)
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
  • 원격 접속 기본 포트(Linux-22, Windows-3389)에 대한 TCP 허용(Default ACG에 규칙으로 추가되어 있음, 삭제 가능)
  • Custom ACG
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
  • ACG 생성

    ACG를 생성하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 Classic을 클릭하여 선택해 주십시오.
    3. Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    4. ACG 메뉴를 클릭해 주십시오.
    5. [ACG 생성] 버튼을 클릭해 주십시오.
    6. ACG 이름을 입력한 후 [생성] 버튼을 클릭해 주십시오.
      • ACG가 생성되어 ACG 목록에 표시됩니다.

    ACG 설정

    네이버 클라우드 플랫폼이 제공하는 ACG는 기본적으로 모든 들어오는 연결(inbound traffic)을 차단하고 모든 나가는 연결(outbound traffic)은 허용합니다. ACG 설정을 변경하여 이 규칙을 변경할 수 있습니다. ACG 설정을 변경하는 방법은 다음과 같습니다.

    참고

    ACG Outbound 규칙에 아무런 설정이 없는 경우 서버에서 발신되는 Request 패킷이 차단될 수 있습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 Classic을 클릭하여 선택해 주십시오.
    3. Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    4. ACG 메뉴를 클릭해 주십시오.
    5. 규칙을 설정할 ACG를 선택한 후 [ACG 설정] 버튼을 클릭해 주십시오.
    6. 다음 표를 참고하여 상세 규칙을 입력한 후 [추가] 버튼을 클릭해 주십시오.
      • 규칙은 100개까지 추가할 수 있습니다.
        항목설정 방법예시
        프로토콜TCP, UDP, ICMP 중 선택-
        접근 소스/목적지IP 주소 또는 ACG 명 입력
        • IP 주소
          • 단일 IP 주소 또는 CIDR 형식으로 IP 네트워크 주소 범위를 지정
          • CIDR 주소 입력 시에는 네트워크 주소를 입력하고 뒤에 슬래시(/)를 포함하여 서브넷 bits를 입력
        • ACG 명
          • 대상 ACG 그룹에 속한 개체 전체를 접근 소스로 지정
        허용 포트(서비스)TCP, UDP의 경우 허용 포트 범위 입력
        • TCP: 1~65535의 허용 포트 범위 지정 가능
        • UDP: 1~65535의 허용 포트 범위 지정 가능
        • ICMP: 프로토콜 전체에 대한 허용 여부 선택만 가능
    7. 모든 규칙을 추가했으면 [적용] 버튼을 클릭해 주십시오.
      • ACG 규칙 설정이 적용됩니다.

    ACG 규칙 설정 예제

    ACG 규칙 설정 시 다음의 예제를 참조해 주십시오.

    • 특정 IP에서 ssh 서비스로 접근을 허용

      프로토콜접근 소스허용 포트
      TCP192.168.77.1722
    • 특정 IP 대역에서 ssh 서비스로 접근을 허용(1)

      프로토콜접근 소스허용 포트
      TCP192.168.77.0/2422
    • 특정 IP 대역에서 ssh 서비스로 접근을 허용(2)

      프로토콜접근 소스허용 포트
      TCP192.168.77.128/2522
    • Test-ACG라는 이름을 가진 ACG에 할당된 서버들 간 ssh 접근을 허용

      프로토콜접근 소스허용 포트
      TCPTest-ACG22
    • 로드 밸런서용 ACG인 ncloud-load-balancer를 접근 소스로 설정하여 로드 밸런서가 바인딩하는 웹 서버로의 네트워크 접근을 허용

      • 로드 밸런서를 여러 개 생성하더라도 ACG 명은 동일해야 함
      프로토콜접근 소스허용 포트
      TCPncloud-load-balancer80
    • 특정 IP에서 UDP 22-1025 포트로의 접근을 허용

      프로토콜접근 소스허용 포트
      UDP192.168.77.1722-1025
    • 웹 서비스에 대해서 전체 대상으로 오픈

      프로토콜접근 소스허용 포트
      TCP0.0.0.0/080

    ACG 삭제

    ACG를 삭제하는 방법은 다음과 같습니다.

    참고
    • 동시에 여러 개의 ACG를 삭제할 수 없습니다.
    • 서버에 적용된 ACG는 삭제할 수 없습니다.
    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 Classic을 클릭하여 선택해 주십시오.
    3. Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    4. ACG 메뉴를 클릭해 주십시오.
    5. 삭제할 ACG를 선택한 후 [ACG 삭제] 버튼을 클릭해 주십시오.
    6. 확인 팝업 창의 내용을 확인한 후 [예] 버튼을 클릭해 주십시오.
      • ACG가 삭제됩니다.

    이 문서가 도움이 되었습니까?

    What's Next
    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.