フォーム読み込み中
セキュリティグループの管理をシンプルに!Alibaba Cloud Prefix listの紹介
クラウドエンジニア
結城 翔斗
オンプレミス企業でテクニカルサポート、プロジェクトマネージャーの経験を経て2020年にソフトバンク株式会社に入社し、Alibaba Cloudのプロダクトに関するテクニカルサポート業務に従事。
2023年6月20日掲載
ご覧いただきありがとうございます。ソフトバンクの結城です。
今回はAlibaba Cloudのセキュリティグループで設定しているCIDRブロックの管理をシンプルにする機能の「Prefix list」について紹介します。
■Alibaba Cloud Prefix listとは
Alibaba CloudのPrefix listは、その名の通り、ネットワークプレフィックス(CIDRブロック)をリスト化できる機能です。作成したPrefix listはセキュリティグループでAllow / DenyIPの設定の際に、指定することができます。また、Prefix listはセキュリティグループとは異なり、特定のVPCと紐づけはされず、リージョン単位となるため、Prefix listを作成したリージョン内のセキュリティグループであれば、どのセキュリティグループでも指定、利用することができます。
Prefix listが登場する前までは、1つ1つネットワークプレフィックス(CIDRブロック)をそれぞれのセキュリティグループに追加していた方もいらっしゃると思います。そこでPrefix listを作成、利用することによって、セキュリティグループにネットワークプレフィックス(CIDRブロック)追加する作業時間を大幅に短縮することができます。
また、Prefix listで設定しているネットワークプレフィックス(CIDRブロック)に変更を加えた場合、Prefix listを利用しているセキュリティグループに変更が適用されるため、利用している環境でネットワークプレフィックス(CIDRブロック)に変更があってもPrefix listのネットワークプレフィックス(CIDRブロック)を変更することによって、1つ1つのセキュリティグループでネットワークプレフィックス(CIDRブロック)を変更することが不要になります。
なお、Prefix listに追加できるのは、ネットワークプレフィックス(CIDRブロック)のみで、特定のIP(47.xx.xx.xx)をリスト化できる機能ではないことをお含みおきください。
■Prefix listの料金について
Prefix listで課金は発生いたしません。
■Prefix listの作成方法について
Prefix listは「Elastic Compute Service」コンソールの画面のメニューとして表示されています。では、早速「プレフィックスリストの作成」をクリックしPrefix listを作成します。
※Prefix listの作成画面では、リージョン選択ができないため、あらかじめ作成したいリージョンに移動した後、操作を実行してください。
Prefix listの設定画面が表示されるので、設定を入力します。
<名前>
任意の名前を入力します。
<説明>
Prefix listの説明を入力します。
<アドレスファミリー>
IPv4 or IPv6を選択します。(IPv6を指定できないリージョンがあります)
●リージョンごとのアドレスファミリー対応状況 (2023年6月19日現在)
リージョン | IPv4 | IPv6 |
China (Hnagzhou) | 〇 | 〇 |
China (Shanghai) | 〇 | 〇 |
China (Nanjing - Local Region) | 〇 | 未対応 |
China (Qingdao) | 〇 | 〇 |
China (Beijing) | 〇 | 〇 |
China (Zhangjiakou) | 〇 | 〇 |
China (Hohhot) | 〇 | 〇 |
China (Ulanqab) | 〇 | 〇 |
China (Shenzhen) | 〇 | 〇 |
China (Heyuan) | 〇 | 〇 |
China (Guangzhou) | 〇 | 〇 |
China (Chengdu) | 〇 | 〇 |
China (Hong Kong) | 〇 | 〇 |
China (Fuzhou - Local Region) | 〇 | 〇 |
Japan (Tokyo) | 〇 | 未対応 |
South Korea (Seoul) | 〇 | 未対応 |
Singapore | 〇 | 〇 |
Australia (Sydney) | 〇 | 未対応 |
Malaysia (Kuala Lumpur) | 〇 | 未対応 |
Indonesia (Jakarta) | 〇 | 未対応 |
Philippines (Manila) | 〇 | 〇 |
Thailand (Bangkok) | 〇 | 未対応 |
India (Munbai) | 〇 | 未対応 |
Germany (Frankfurt) | 〇 | 〇 |
UK (London) | 〇 | 未対応 |
US (Silicon Valley) | 〇 | 未対応 |
US (Virginia) | 〇 | 〇 |
UAE (Dubai) | 〇 | 未対応 |
SAU (Riyadh) | 〇 | 未対応 |
<最大エントリ数>
プレフィックスリストに追加できるエントリ数を指定します。
値としては、1〜200までの値を指定できます。Prefix list作成後、設定値を変更することができませんので、ご注意ください。
<エントリ数>
リストに追加したい、ネットワークプレフィックス(CIDRブロック)を入力します。
Prefix listの作成が完了すると作成したPrefix listが表示されます。
●詳細の表示
Prefix listに追加したネットワークプレフィックス(CIDRブロック)を確認することができます。
●関連リソース
Prefix listを使用しているセキュリティグループを確認することができます。
●複製
別リージョンに同様の設定をコピーすることができます。
●削除
Prefix listを削除することができます。削除条件としては、関連するリソースが0(無い)である必要があります。
■Prefix listの使用方法について
作成したPrefix listをセキュリティグループで使用する方法について説明します。ECSコンソールを開き、セキュリティグループの一覧を開きます。表示された画面でPrefix listを設定したいセキュリティグループのインスタンスIDをクリックします。
「ルールの追加」をクリックし、セキュリティグループにルール追加をします。「権限付与オブジェクト」の入力欄をクリックし、作成したPrefix listを指定します。各種パラメータを入力した後、「保存」をクリックします。
セキュリティグループのルールを確認すると権限付与オブジェクトで先程保存したルール(Prefix list)が指定されたルールが表示されていることが確認できます。
■動作確認
セキュリティグループに追加したPrefix listが動作しているか確認をします。
●方法
VPC内に2つのECSを作成し、それぞれのECSから互いにpingを打ち、疎通確認を行います。
●セキュリティグループの設定内容
権限付与ポリシー : 許可
優先度 : 1
プロトコルタイプ : 全てicmp(IPv4)
ポート範囲 : -1/-1
権限付与オブジェクト : Prefix listを指定(今回は192.168.0.0/16)
pingの実行結果を確認すると互いのECSで疎通ができていることが分かります。
※以下画面の右側のECSのプライベートIPは192.168.0.1
※以下画面の左側のECSのプライベートIPは192.168.0.2
■最後に
今回はセキュリティグループでネットワークプレフィックス(CIDRブロック)をシンプルに管理をすることができる機能のPrefix listについて紹介しました。
個人的にはPrefix listの作成や使用方法の操作は簡単な印象でした。セキュリティグループで多くのネットワークプレフィックス(CIDRブロック)のルール設定をされている場合は、是非Prefix listを使ってネットワークプレフィックス(CIDRブロック)の管理をシンプルにしてみてはいかがでしょうか。
関連サービス
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
