閱讀101 返回首頁    go 阿裏雲 go 技術社區[雲棲]

雲服務器 ECS 安全:經典網絡內網實例互通設置方法




安全組是實例級別防火牆,為保障實例安全,設置安全組規則時要遵循“最小授權”原則,下麵介紹四種安全的內網實例互通設置方法。

方法 1. 使用單 IP 地址授權

  • 適用場景:適用於小規模實例間內網互通場景。
  • 優點:以IP地址方式授權,安全組規則清晰,容易理解。
  • 缺點:內網互通實例數量較多時,會受到安全組規則條數 100 條的限製,另外後期維護工作量比較大。
  • 設置方法:
    • 選擇需要互通的實例,進入 本實例安全組。
    • 選擇需要配置安全組,單擊 配置規則。
    • 單擊 內網入方向,並單擊 添加安全組規則。
    • 按以下描述添加安全組規則:
    • 授權策略:允許;
    • 協議類型:根據實際需要選擇協議類型;
    • 端口範圍:根據您的實際需要設置端口範圍,格式為“起始端口號/終止端口號”;
    • 授權類型:地址段訪問;
    • 授權對象:輸入想要內網互通的實例的內網 IP 地址,格式必須是 a.b.c.d/32。其中,子網掩碼必須是 /32。


image


方法 2. 加入同一安全組

  • 適用場景:如果您的應用架構比較簡單,可以為所有的實例選擇相同的安全組,綁定同一安全組的實例之間不用設置特殊規則,默認網絡互通。
  • 優點:安全組規則清晰。
  • 缺點:僅適用於簡單的應用網絡架構,網絡架構調整時授權方法要隨之進行修改。

方法 3. 綁定互通安全組

  • 適用場景:為需要互通的實例增加綁定一個專門用於互通的安全組,適用於多層應用網絡架構場景。
  • 優點:操作簡單,可以迅速建立實例間互通,可應用於複雜網絡架構。
  • 缺點:實例需綁定多個安全組,安全組規則閱讀性較差。
  • 設置方法:
    • 新建一個安全組,命名為“互通安全組”,不需要給新建的安全組添加任何規則。
    • 將需要互通的實例都添加綁定新建的“互通安全組”,利用同一安全組的實例之間默認互通的特性,達到內網實例互通的效果。

方法 4. 安全組互信授權

  • 適用場景:如果您的網絡架構比較複雜,各實例上部署的應用都有不同的業務角色,您就可以選擇使用安全組互相授權方式。
  • 優點:安全組規則結構清晰、閱讀性強、可跨賬戶互通。
  • 缺點:安全組規則配置工作量較大。
  • 設置方法:
    • 選擇需要建立互信的實例,進入 本實例安全組。
    • 選擇需要配置安全組,單擊 配置規則。
    • 單擊 內網入方向,並單擊 添加安全組規則。
    • 按以下描述添加安全組規則:
    • 授權策略:允許;
    • 協議類型:根據您的實際需要選擇協議類型;
    • 端口範圍:根據實際需求設置;
    • 授權類型:安全組訪問。
    • 授權對象:
      • 如果您選擇 本賬號授權:按照您的組網要求,將有內網互通需求的對端實例的安全組 ID 填入 授權對象 即可。
      • 如果您選擇 跨賬號授權:授權對象 應填入對端實例的安全組 ID;賬號 ID 是對端賬號 ID(可以在 賬號管理 > 安全設置 裏查到)。


image
image


建議

如果前期安全組授權過大,建議采用以下流程收緊授權範圍。


image


圖中 刪除 0.0.0.0 是指刪除原來的允許 0.0.0.0/0 地址段的安全組規則。

如果安全組規則變更操作不當,可能會導致您的實例間通信受到影響,請在修改設置前備份您要操作的安全組規則,以便出現互通問題時及時恢複。

安全組映射了實例在整個應用架構中的角色,推薦按照應用架構規劃防火牆規則。例如:常見的三層 Web 應用架構就可以規劃三個安全組,將部署了相應應用或數據庫的實例綁定對應的安全組:

  • Web 層安全組:開放 80 端口;
  • APP 層安全組:開放 8080 端口;
  • DB 層安全組:開放 3306 端口。

原文鏈接

最後更新:2017-08-13 22:22:04

  上一篇:go  雲服務器 ECS 安全:服務器默認遠程端口修改
  下一篇:go  雲服務器 ECS 安全:如何提高ECS實例的安全性