[セキュリティグループ]
・EC2が持つENI(Elastic Network Interface)と呼ばれる仮想ネットワークカードに対して構成する。
・最大5個まで設定可能(※1)
・通信はステートフル(ある通信を通せば、その応答は自動的に通過する)
[ネットワークACL]
・サブネットに対して構成する。
・一つのサブネットに対して、一つ設定可能である。
・デフォルトはすべての通信が許可されたルールが構成されたネットワークACLが設定されている。
・通信はステートレス(ある通信を通しても、レスポンスを通すルールを指定しておかないと遮断される(※2))
※1 セキュリティグループの上限
AWSにリクエストを投げれば、最大16個まで設定が行える。但し、設定できるルールの数が減ってしまう。
通常は、セキュリティグループ一つに対する設定できる最大ルール数が50、ENIに設定できるセキュリティグループの数が5である。
上記2つのを積算した値250が最大数となるため、セキュリティグループの数を10にすると、ルール数は25となってしまう。
(参考)
docs.aws.amazon.com
※2 エフェメラルポートの取扱い
エフェメラルポートとは、リクエスト側がレスポンスを受け取る待ち受けポート番号のため、都度ランダム的に割り当てられるポート番号のこと。
ネットワークACLにすると、このポート番号を考慮しておかないといけない。
(参考)
qiita.com
Amazon Web Services完全ソリューションガイド
- 作者: 大澤文孝,川上明久,大嶋和幸
- 出版社/メーカー: 日経BP社
- 発売日: 2016/12/27
- メディア: Kindle版
- この商品を含むブログを見る