ACG(Access Control Group)는 서버 간 네트워크의 접근을 제어하고 관리할 수 있는 IP/Port 기반 필터링 방화벽 서비스입니다. ACG를 이용하면 기존 방화벽(iptables, ufw, Windows 방화벽)을 개별적으로 관리할 필요 없이 서버 그룹에 대한 ACG 규칙을 손쉽게 설정하고 관리할 수 있습니다.
네이버 클라우드 플랫폼에서 기본으로 제공하는 ACG를 사용하거나 ACG 규칙을 직접 생성해서 사용할 수 있습니다.
- ACG는 VPC당 500개까지 생성할 수 있습니다.
- ACG는 네트워크 인터페이스당 3개까지 적용할 수 있습니다.
- 하나의 ACG에는 Inbound / Outbound 규칙을 각각 50개씩 생성할 수 있습니다.
기본 ACG
네이버 클라우드 플랫폼의 각 계정에는 기본 ACG가 생성되어 있습니다. 기본으로 제공하는 ACG는 다음의 규칙을 따릅니다.
- 모든 들어오는 연결(inbound traffic) 차단
- 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있음)
- Default ACG 내 속한 서버 간 네트워크 양방향 통신 허용(규칙으로 추가되어 있음, 삭제 가능)
ACG 생성
ACG를 생성하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- [ACG 생성] 버튼을 클릭해 주십시오.
- ACG 이름을 입력하고 VPC를 지정한 후 [생성] 버튼을 클릭해 주십시오.
- ACG가 생성되어 ACG 목록에 표시됩니다.
ACG 설정
네이버 클라우드 플랫폼이 제공하는 ACG는 기본적으로 모든 들어오는 연결(inbound traffic)을 차단하고 모든 나가는 연결(outbound traffic)은 허용합니다. ACG 설정을 변경하여 이 규칙을 변경할 수 있습니다. ACG 설정을 변경하는 방법은 다음과 같습니다.
ACG Outbound 규칙 관련 설정이 존재하지 않는 경우 서버에서 보내는 Request 패킷이 차단될 수 있으니 주의해 주십시오.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- 규칙을 설정할 ACG를 선택한 후 [ACG 설정] 버튼을 클릭해 주십시오.
- 다음 표를 참고하여 상세 규칙을 입력한 후 [추가] 버튼을 클릭해 주십시오.
항목 설정 방법 예시 프로토콜 TCP, UDP, ICMP, PROTOCOL NUMBER 중 선택 - 접근 소스/목적지 IP 주소 또는 ACG명 입력 - IP 주소
- 단일 IP 주소 또는 CIDR 형식으로 IP 네트워크 주소 범위를 지정
- CIDR 형식으로 입력 시 네트워크 주소 다음에 슬래시(/)를 포함하여 Subnet 비트 수를 입력
- ACG명
- 대상 ACG에 속한 개체 전체를 접근 소스로 지정
- CIDR 입력 예시: 0.0.0.0/0, 192.168.1.0/24
- ACG명 입력 예시: my-acg-1 (미리 설정한 ACG명)
허용 포트 TCP, UDP 선택 시 허용 포트 범위 입력 - 22 (ssh 서비스용)
- 3389 (Windows 원격 접속용)
메모 필요 시 간단히 입력 - - 규칙은 100개까지 추가할 수 있습니다.
- PROTOCOL NUMBER로 정의된 번호는 IANA에서 확인할 수 있습니다.
- IP 주소
- 모든 규칙을 추가했으면 [적용] 버튼을 클릭해 주십시오.
- ACG 규칙 설정이 적용됩니다.
ACG 규칙 설정 예시
자주 사용되는 ACG 규칙은 다음과 같습니다.
-
특정 IP에서 ssh 서비스로 접근을 허용
프로토콜 접근 소스 허용 포트 TCP 192.168.77.17 22 -
특정 IP 대역에서 ssh 서비스로 접근을 허용(1)
프로토콜 접근 소스 허용 포트 TCP 192.168.77.0/24 22 -
특정 IP 대역에서 ssh 서비스로 접근을 허용(2)
프로토콜 접근 소스 허용 포트 TCP 192.168.77.128/25 22 -
Test-ACG라는 이름을 가진 ACG에 할당된 서버들 간 ssh 접근을 허용
프로토콜 접근 소스 허용 포트 TCP Test-ACG 22 -
로드 밸런서용 ACG인 ncloud-load-balancer를 접근 소스로 설정하여 로드 밸런서가 바인딩하는 웹 서버로의 네트워크 접근을 허용
- 로드 밸런서를 여러 개 생성하더라도 ACG명은 동일해야 함
프로토콜 접근 소스 허용 포트 TCP ncloud-load-balancer 80 -
특정 IP에서 UDP 22-1025 포트로의 접근을 허용
프로토콜 접근 소스 허용 포트 UDP 192.168.77.17 22-1025 -
웹 서비스 전체의 접근을 허용
프로토콜 접근 소스 허용 포트 TCP 0.0.0.0/0 80
ACG 삭제
ACG를 삭제하는 방법은 다음과 같습니다.
- 여러 개의 ACG를 동시에 삭제할 수 없습니다.
- 서버에 적용된 ACG는 삭제할 수 없습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- ACG 메뉴를 클릭해 주십시오.
- 삭제할 ACG를 선택한 후 [ACG 삭제] 버튼을 클릭해 주십시오.
- 확인 팝업 창의 내용을 확인한 후 [예] 버튼을 클릭해 주십시오.
- ACG가 삭제됩니다.