このセクションでは、NSX Advanced Load Balancer で作成されるデフォルトのセキュリティ グループについて説明します。
NSX Advanced Load Balancer で作成されたデフォルトのセキュリティ グループには、次のルールが追加されます。
データ ルール:仮想サービスと通信するためにポートを開くルール。
管理ルール:NSX Advanced Load Balancer Controller と SE 間の通信ルール。管理目的の通信には、
ポート 22 で SSH を有効にします。
すべての ICMP-IPv4 パケットの ping を有効にします。
トンネリング ルール:カスタム プロトコル EtherIP (97)、カスタム プロトコル CPHB (73)、およびカスタム プロトコル 63 (63)。
次のさまざまなオプションをデフォルトのセキュリティ グループで使用できます。NSX Advanced Load Balancer で作成された各ルールは、作成したセキュリティ グループにのみ追加されます。
ingress_access_mgmt
ingress_access_data
custom_securitygroups_mgmt
custom_securitygroups_data
管理インターフェイスの入力方向アクセス
次の表に、ingress_access_mgmt オプションの動作と指定可能な値を示します。
指定可能な値 |
動作 |
|---|---|
SG_INGRESS_ACCESS_NONE |
管理ルールは設定されない |
SG_INGRESS_ACCESS_ALL |
管理ルールで送信元 IP アドレスが 0.0.0.0/0 に設定される |
SG_INGRESS_ACCESS_VPC |
管理ルールで送信元 IP アドレスが VPC CIDR に設定される |
指定可能な値 |
動作 |
|---|---|
SG_INGRESS_ACCESS_NONE |
データ ルールは設定されない |
SG_INGRESS_ACCESS_ALL |
データ ルールで送信元 IP アドレスが 0.0.0.0/0 に設定される |
SG_INGRESS_ACCESS_VPC |
データ ルールで送信元 IP アドレスが VPC CIDR に設定される |
NSX Advanced Load Balancer で作成されるデフォルトのセキュリティ グループには、次の制限事項があります。
SE ごとに 1 つのセキュリティ グループが作成され、AWS でアカウントごとに作成できるセキュリティ グループは 500 のみです。
すべてのデータおよび管理トラフィックの送信元 IP アドレスは (0.0.0.0) と (VPC CIDR) のどちらかに設定されます。特定のネットワークのみを許可または禁止するための制御機能はありません。
AWS は、セキュリティ グループを使用して、すべての送信トラフィックを自動的に許可します。
NSX Advanced Load Balancer は、ユーザーが独自のセキュリティ グループを作成できるカスタム セキュリティ グループ オプションをサポートしています。カスタム セキュリティ グループを SE とデフォルトのセキュリティ グループに関連付けます。カスタム セキュリティ グループを使用する場合、デフォルトのセキュリティ グループをあまり使用する必要はありません。
