567
阿裏雲服務器安全組設置內網互通的方法
注意,請先到阿裏雲官網 領取幸運券,除了價格上有很多優惠外,還可以參與抽獎。詳見:https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=2a7uv47d&utm_source=2a7uv47d相信接觸過安全組的同學肯定都知道0.0.0.0/0,這個特殊的地址段代表了所有IPV4地址,當您不能確認目標或來源地址時一般就用它來代替,例如,公網提供HTTP服務的應用就會利用0.0.0.0/0作為公網安全組入規則的來源地址。
雖然0.0.0.0/0使用非常方便,但是發現很多同學使用它來做內網互通,這是有安全風險的,實例有可能會在經典網絡被內網IP訪問到。下麵介紹一下四種安全的內網互聯設置方法。
內網安全組互通設置方法:
1. 使用IP地址授權
如果內網互聯的實例數量較少,建議使用IP地址授權方式。
設置方法:在安全組列表控製台,選擇想要互通的實例的安全組,點擊“添加安全組規則”,“授權類型”選擇“地址段訪問”,在“授權對象”中填入想要互通的實例的內網IP地址, 格式例如:a.b.c.d/32。
優點:安全組規則清晰,好理解。
缺點:有可能受到安全組規則條數100條的限製,實例數目發生變化時維護工作量較大。
2. 加入同一安全組
如果您的網絡架構比較簡單,實例中部署的業務相同,您就可以為所有的實例選擇相同的安全組,綁定同一安全組的實例之間不用設置特殊規則、默認是網絡互通的。
優點:安全組規則清晰。
缺點:適用於單一的應用架構,網絡架構變更時需要做調整。
3. 綁定互通安全組
為需要互通的實例新添加綁定一個專門互通用的安全組,適用於較為複雜的網絡架構。
設置方法:新建一個安全組,命名為“互通安全組”,不用給新建的安全組添加任何規則。將需要互通的實例都添加綁定新建的“互通安全組”,利用同一安全組的實例之間默認互通的特性,達到內網實例互通的效果。
優點:操作簡單,適用於複雜網絡架構。
缺點:安全組規則閱讀性較差。
4. 安全組互信授權
如果您的網絡架構比較複雜,各實例上部署的應用都有不同的業務角色,您就可以選擇使用安全組互相授權方式。
設置方法:在安全組列表控製台,分別選擇想要建立互信的實例的安全組,點擊“添加安全組規則”,授權類型選擇“安全組訪問”
在添加經典網絡安全組內網入方向規則時,選擇“授權策略”為“允許”, “授權類型”為“安全組訪問”。您將會看到右側的兩個選擇:“本賬號授權”,“跨賬號授權”,按照您的組網要求,將有互聯需求的對端實例的安全組ID填入下方的授權對象中,這樣就建立了安全組互信,建立安全組互信後的實例間通信就沒有阻礙了。
優點:安全組規則結構清晰、閱讀性強、可跨賬戶互通
缺點:操作稍複雜
適用範圍:
-
使用IP地址授權:適用於小規模實例間內網互通場景
-
加入同一安全組:適用於所有實例同屬於單一應用架構場景
-
綁定互通安全組:快速達到內網互通效果,適用於多層應用網絡架構場景
- 安全組互信授權:規則結構清晰,閱讀性強,適合多層應用網絡架構場景
推薦的0.0.0.0/0替換流程
如果安全組規則變更操作不當,可能會導致您的實例間通信受到影響,請在修改設置前備份您要操作的安全組規則,以便出現互通問題時及時恢複。
另外,安全組是實例級別防火牆,它映射了所綁定的實例在整個應用網絡架構中的業務角色,所以推薦大家按照自己的應用網絡架構規劃防火牆。例如:常見的三層WEB應用架構就可以規劃為三個安全組:1. WEB 層安全組 (開放80端口)2. APP 層安全組(開放8080端口) 3 DB層安全組 (開放3306端口)。
最後更新:2017-10-18 09:03:24