この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
困っていた内容
ネットワーク ACL / セキュリティグループの変更をしようと考えています。
関連する VPC 上に既存システムが稼働していますので、通信の影響が出ることを懸念しています。
ネットワーク ACL / セキュリティグループの変更時に既存セッションなどの通信断・瞬断は発生するのでしょうか?
どう対応すればいいの?
ネットワーク ACL / セキュリティグループの設定変更時に既存セッションなどの通信断・瞬断が発生することは基本的にありません。
もちろん、設定変更によって許可していた通信をブロックする場合は通信断となります。
参考資料
追跡されていないトラフィックフローは、そのフローを有効にするルールが削除または変更されるとすぐに中断されます。たとえば、オープン (0.0.0.0/0) のアウトバウンドルールがあり、インスタンスへのすべて(0.0.0.0/0) のインバウンドの SSH (TCP ポート 22) トラフィックを許可するルールを削除した場合 (または接続を許可しないように変更した場合)、インスタンスへの既存の SSH 接続はすぐに中断されます。接続はそれまで追跡されていないため、この変更によって接続が切断されます。一方、最初に細かく SSH 接続を許可する (つまり、接続を追跡する) インバウンドルールがあり、現在の SSH クライアントのアドレスからの新しい接続を許可しないようにルールを変更する場合は、ルールを変更しても既存の接続は切断されません。
5
