ACG
- 인쇄
- PDF
ACG
- 인쇄
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
ACG(Access Control Group)는 서버 간 네트워크의 접근을 제어하고 관리할 수 있는 IP/Port 기반 필터링 방화벽 서비스입니다. ACG를 이용하면 기존 방화벽(iptables, ufw, Windows 방화벽)을 개별적으로 관리할 필요 없이 서버 그룹에 대한 ACG 규칙을 손쉽게 설정하고 관리할 수 있습니다.
네이버 클라우드 플랫폼에서 기본으로 제공하는 ACG를 사용하거나 ACG 규칙을 직접 생성해서 사용할 수 있습니다.
참고
- ACG는 VPC당 500개까지 생성할 수 있습니다.
- ACG는 네트워크 인터페이스당 3개까지 적용할 수 있습니다.
- 하나의 ACG에는 Inbound / Outbound 규칙을 각각 50개씩 생성할 수 있습니다.
기본 ACG
네이버 클라우드 플랫폼의 각 계정에는 기본 ACG가 생성되어 있습니다. 기본으로 제공하는 ACG는 다음의 규칙을 따릅니다.
- 모든 들어오는 연결(inbound traffic) 차단
- 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있음)
- Default ACG 내 속한 서버 간 네트워크 양방향 통신 허용(규칙으로 추가되어 있음, 삭제 가능)
ACG 생성
ACG를 생성하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- [ACG 생성] 버튼을 클릭해 주십시오.
- ACG 이름을 입력하고 VPC를 지정한 후 [생성] 버튼을 클릭해 주십시오.
- ACG가 생성되어 ACG 목록에 표시됩니다.
ACG 설정
네이버 클라우드 플랫폼이 제공하는 ACG는 기본적으로 모든 들어오는 연결(inbound traffic)을 차단하고 모든 나가는 연결(outbound traffic)은 허용합니다. ACG 설정을 변경하여 이 규칙을 변경할 수 있습니다. ACG 설정을 변경하는 방법은 다음과 같습니다.
주의
ACG Outbound 규칙 관련 설정이 존재하지 않는 경우 서버에서 보내는 Request 패킷이 차단될 수 있으니 주의해 주십시오.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- 규칙을 설정할 ACG를 선택한 후 [ACG 설정] 버튼을 클릭해 주십시오.
- 다음 표를 참고하여 상세 규칙을 입력한 후 [추가] 버튼을 클릭해 주십시오.
항목 설정 방법 예시 프로토콜 TCP, UDP, ICMP, PROTOCOL NUMBER 중 선택 - 접근 소스/목적지 IP 주소 또는 ACG명 입력 - IP 주소
- 단일 IP 주소 또는 CIDR 형식으로 IP 네트워크 주소 범위를 지정
- CIDR 형식으로 입력 시 네트워크 주소 다음에 슬래시(/)를 포함하여 Subnet 비트 수를 입력
- ACG명
- 대상 ACG에 속한 개체 전체를 접근 소스로 지정
- CIDR 입력 예시: 0.0.0.0/0, 192.168.1.0/24
- ACG명 입력 예시: my-acg-1 (미리 설정한 ACG명)
허용 포트 TCP, UDP 선택 시 허용 포트 범위 입력 - 22 (ssh 서비스용)
- 3389 (Windows 원격 접속용)
메모 필요 시 간단히 입력 - - 규칙은 100개까지 추가할 수 있습니다.
- PROTOCOL NUMBER로 정의된 번호는 IANA에서 확인할 수 있습니다.
- IP 주소
- 모든 규칙을 추가했으면 [적용] 버튼을 클릭해 주십시오.
- ACG 규칙 설정이 적용됩니다.
ACG 규칙 설정 예시
자주 사용되는 ACG 규칙은 다음과 같습니다.
특정 IP에서 ssh 서비스로 접근을 허용
프로토콜 접근 소스 허용 포트 TCP 192.168.77.17 22 특정 IP 대역에서 ssh 서비스로 접근을 허용(1)
프로토콜 접근 소스 허용 포트 TCP 192.168.77.0/24 22 특정 IP 대역에서 ssh 서비스로 접근을 허용(2)
프로토콜 접근 소스 허용 포트 TCP 192.168.77.128/25 22 Test-ACG라는 이름을 가진 ACG에 할당된 서버들 간 ssh 접근을 허용
프로토콜 접근 소스 허용 포트 TCP Test-ACG 22 로드 밸런서용 ACG인 ncloud-load-balancer를 접근 소스로 설정하여 로드 밸런서가 바인딩하는 웹 서버로의 네트워크 접근을 허용
- 로드 밸런서를 여러 개 생성하더라도 ACG명은 동일해야 함
프로토콜 접근 소스 허용 포트 TCP ncloud-load-balancer 80 특정 IP에서 UDP 22-1025 포트로의 접근을 허용
프로토콜 접근 소스 허용 포트 UDP 192.168.77.17 22-1025 웹 서비스 전체의 접근을 허용
프로토콜 접근 소스 허용 포트 TCP 0.0.0.0/0 80
ACG 삭제
ACG를 삭제하는 방법은 다음과 같습니다.
참고
- 여러 개의 ACG를 동시에 삭제할 수 없습니다.
- 서버에 적용된 ACG는 삭제할 수 없습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- 삭제할 ACG를 선택한 후 [ACG 삭제] 버튼을 클릭해 주십시오.
- 확인 팝업 창의 내용을 확인한 후 [예] 버튼을 클릭해 주십시오.
- ACG가 삭제됩니다.
이 문서가 도움이 되었습니까?