ACG

Prev Next

ACG(Access Control Group)는 서버 간 네트워크의 접근을 제어하고 관리할 수 있는 IP/Port 기반 필터링 방화벽 서비스입니다. ACG를 이용하면 기존 방화벽(iptables, ufw, Windows 방화벽)을 개별적으로 관리할 필요 없이 서버 그룹에 대한 ACG 규칙을 손쉽게 설정하고 관리할 수 있습니다.
네이버 클라우드 플랫폼에서 기본으로 제공하는 ACG를 사용하거나 ACG 규칙을 직접 생성해서 사용할 수 있습니다.

참고
  • ACG는 VPC당 500개까지 생성할 수 있습니다.
  • ACG는 네트워크 인터페이스당 3개까지 적용할 수 있습니다.
  • 하나의 ACG에는 Inbound / Outbound 규칙을 각각 50개씩 생성할 수 있습니다.

기본 ACG

네이버 클라우드 플랫폼의 각 계정에는 기본 ACG가 생성되어 있습니다. 기본으로 제공하는 ACG는 다음의 규칙을 따릅니다.

  • 모든 들어오는 연결(inbound traffic) 차단
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있음)
  • Default ACG 내 속한 서버 간 네트워크 양방향 통신 허용(규칙으로 추가되어 있음, 삭제 가능)

ACG 생성

ACG를 생성하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
  2. ACG 메뉴를 클릭해 주십시오.
  3. [ACG 생성] 버튼을 클릭해 주십시오.
  4. ACG 이름을 입력하고 VPC를 지정한 후 [생성] 버튼을 클릭해 주십시오.
    • ACG가 생성되어 ACG 목록에 표시됩니다.

ACG 설정

네이버 클라우드 플랫폼이 제공하는 ACG는 기본적으로 모든 들어오는 연결(inbound traffic)을 차단하고 모든 나가는 연결(outbound traffic)은 허용합니다. ACG 설정을 변경하여 이 규칙을 변경할 수 있습니다. ACG 설정을 변경하는 방법은 다음과 같습니다.

주의

ACG Outbound 규칙 관련 설정이 존재하지 않는 경우 서버에서 보내는 Request 패킷이 차단될 수 있으니 주의해 주십시오.

  1. 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
  2. ACG 메뉴를 클릭해 주십시오.
  3. 규칙을 설정할 ACG를 선택한 후 [ACG 설정] 버튼을 클릭해 주십시오.
  4. 다음 표를 참고하여 상세 규칙을 입력한 후 [추가] 버튼을 클릭해 주십시오.
    항목 설정 방법 예시
    프로토콜 TCP, UDP, ICMP, PROTOCOL NUMBER 중 선택 -
    접근 소스/목적지 IP 주소 또는 ACG명 입력
    • IP 주소
      • 단일 IP 주소 또는 CIDR 형식으로 IP 네트워크 주소 범위를 지정
      • CIDR 형식으로 입력 시 네트워크 주소 다음에 슬래시(/)를 포함하여 Subnet 비트 수를 입력
    • ACG명
      • 대상 ACG에 속한 개체 전체를 접근 소스로 지정
    • CIDR 입력 예시: 0.0.0.0/0, 192.168.1.0/24
    • ACG명 입력 예시: my-acg-1 (미리 설정한 ACG명)
    허용 포트 TCP, UDP 선택 시 허용 포트 범위 입력
    • 22 (ssh 서비스용)
    • 3389 (Windows 원격 접속용)
    메모 필요 시 간단히 입력 -
    • 규칙은 100개까지 추가할 수 있습니다.
    • PROTOCOL NUMBER로 정의된 번호는 IANA에서 확인할 수 있습니다.
  5. 모든 규칙을 추가했으면 [적용] 버튼을 클릭해 주십시오.
    • ACG 규칙 설정이 적용됩니다.

ACG 규칙 설정 예시

자주 사용되는 ACG 규칙은 다음과 같습니다.

  • 특정 IP에서 ssh 서비스로 접근을 허용

    프로토콜 접근 소스 허용 포트
    TCP 192.168.77.17 22

  • 특정 IP 대역에서 ssh 서비스로 접근을 허용(1)

    프로토콜 접근 소스 허용 포트
    TCP 192.168.77.0/24 22

  • 특정 IP 대역에서 ssh 서비스로 접근을 허용(2)

    프로토콜 접근 소스 허용 포트
    TCP 192.168.77.128/25 22

  • Test-ACG라는 이름을 가진 ACG에 할당된 서버들 간 ssh 접근을 허용

    프로토콜 접근 소스 허용 포트
    TCP Test-ACG 22

  • 로드 밸런서용 ACG인 ncloud-load-balancer를 접근 소스로 설정하여 로드 밸런서가 바인딩하는 웹 서버로의 네트워크 접근을 허용

    • 로드 밸런서를 여러 개 생성하더라도 ACG명은 동일해야 함
    프로토콜 접근 소스 허용 포트
    TCP ncloud-load-balancer 80

  • 특정 IP에서 UDP 22-1025 포트로의 접근을 허용

    프로토콜 접근 소스 허용 포트
    UDP 192.168.77.17 22-1025

  • 웹 서비스 전체의 접근을 허용

    프로토콜 접근 소스 허용 포트
    TCP 0.0.0.0/0 80

ACG 삭제

ACG를 삭제하는 방법은 다음과 같습니다.

참고
  • 여러 개의 ACG를 동시에 삭제할 수 없습니다.
  • 서버에 적용된 ACG는 삭제할 수 없습니다.
  1. 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
  2. ACG 메뉴를 클릭해 주십시오.
  3. 삭제할 ACG를 선택한 후 [ACG 삭제] 버튼을 클릭해 주십시오.
  4. 확인 팝업 창의 내용을 확인한 후 [예] 버튼을 클릭해 주십시오.
    • ACG가 삭제됩니다.