ネットワーク・セキュリティ・グループを使用したトラフィックの制御

Compute Cloud@Customerでは、ネットワーク・セキュリティ・グループ(NSG)とセキュリティ・リストの両方がコンピュート・インスタンスの仮想ファイアウォールのタイプです。NSGとセキュリティ・リストの両方が、インスタンス(VNIC)との間で許可されるトラフィックのタイプを決定するネットワーク・セキュリティ・ルールを定義します。

NSGは、VCNで選択したVNICのセットに対して仮想ファイアウォール・ルールを提供します。サブネット内のすべてのVNICに対して一連のファイアウォール規則を提供するには、セキュリティーリストを作成できます。セキュリティ・リストを使用したトラフィックの制御を参照してください。

NSGを使用すると、インスタンスのグループに対してネットワーク・セキュリティ・ルールを定義できます。これは、異なるサブネットに配置できます。たとえば、NSGは、すべてのデータベース・サーバー、または特定のアプリケーションを実行しているすべてのアプリケーション・サーバーに適用できます。特定のサブネットにセキュリティを適用するかわりに、NSGを作成し、適切なインスタンス(VNIC)をNSGに追加します。

VCNを作成すると、デフォルトのセキュリティ・リストが作成されます。グループに含めるVNICを選択する必要があるため、デフォルトのNSGは作成されません。

セキュリティ・リストとNSGの両方を使用する場合、適用可能なセキュリティ・リストまたはNSGのいずれかのルールでトラフィックが許可されていると、特定のVNICとの間のトラフィックが許可されます:

• VNICサブネットに関連付けられているセキュリティ・リスト内の任意のルール

• VNICが存在するNSG内の任意のルール