887
人物
應用案例__安全組_用戶指南_雲服務器 ECS-阿裏雲
除了提供安全保障,您還可以使用安全組實現:
- 案例 1:內網互通
- 案例 2:攔截特定 IP 或 端口
- 案例 3:隻允許特定 IP 遠程登錄到實例
- 案例 4:隻允許實例訪問外部特定 IP
說明:本文檔介紹的案例僅適用於經典網絡。
安全組有如下限製:
- 每個用戶最多創建 100 個安全組
- 每個安全組最多添加 1000 個實例
- 每個實例最多加入 5 個安全組
- 每個安全組最多創建 100 條規則
案例 1:使用安全組實現內網互通
在經典網絡下,您可以使用安全組實現不同 ECS 實例間的內網互通。有兩種情況:
- 場景 1:實例屬於同一個地域,同一個賬號
- 場景 2:實例屬於同一個地域,不同賬號
場景 1:同一地域,同一賬號
同一個地域內,同一個賬號下,經典網絡下可以通過安全組規則設置雲服務器之間內網互通。
同一個安全組下的雲服務器,默認內網互通。不同的安全組下的雲服務器,默認內網不通。要實現內網互通,有以下解決辦法:
- 方案 1:可以把雲服務器放入到相同的安全組中,就可以滿足內網都互通了。
- 方案 2:如果雲服務器不在同一個安全組內,兩個安全組互相內網授權安全組訪問類型的安全組規則。在 授權對象 中添加對方的 IP 地址即可。
場景 2:同一地域,不同賬號
同一個地域內,不同賬號下,經典網絡下可以通過安全組規則設置兩台雲服務器之間內網互通。比如:
- UserA 的用戶在 華東 1 有一台經典網絡的 ECS 雲服務器 InstanceA(內網 IP:A.A.A.A),InstanceA 所屬的安全組為 GroupA;
- UserB 的用戶在 華東 1 有一台經典網絡的 ECS 雲服務器 InstanceB(內網 IP:B.B.B.B),InstanceB 所屬的安全組為 GroupB。
這種情況下,可以通過安全組配置實現 InstanceA 和 InstanceB 在內網上互通。步驟如下:
- UserA 為 GroupA 添加一條這樣的規則:在 內網入方向 授權 B.B.B.B 的 IP 可以訪問 GroupA 下的所有 ECS 雲服務器。
- UserB 為 GroupB 添加一條這樣的規則:在 內網入方向 授權 A.A.A.A 的 IP 可以訪問 GroupB 下的所有 ECS 雲服務器。
這樣兩台實例就可以互通了。
案例 2:使用安全組屏蔽、攔截、阻斷特定 IP 或端口對 ECS 實例的訪問
您可以使用安全組屏蔽、攔截、阻止特定 IP 對用戶雲服務器的訪問,或者屏蔽 IP 訪問服務器的特定端口。操作如下:
登錄 雲服務器管理控製台。
找到要配置的實例。
打開實例的 本實例安全組,然後單擊 配置規則。
單擊 公網入方向,然後單擊 添加安全組規則。
授權策略選擇 拒絕,授權對象 輸入需要屏蔽的 IP 地址。單擊 確定。
如果是針對特定端口的限製,比如屏蔽一個特定 IP 訪問自己 ECS 實例的 22 端口,授權策略 選擇 拒絕,協議類型 選擇 TCP,端口範圍填寫為 22/22,授權對象填寫待屏蔽的 IP 地址和子網掩碼,格式為 x.x.x.x/xx,例如 10.1.1.1/32。然後單擊 確認。
案例 3:隻允許特定 IP 遠程登錄到實例
通過配置安全組規則可以設置隻讓特定 IP 遠程登錄到實例。隻需要在公網入方向配置規則就可以了。
以 Linux 服務器為例,設置隻讓特定 IP 訪問 22 端口。
- 添加一條公網入方向安全組規則,允許訪問,協議類型選擇 TCP,端口寫 22/22,授權類型為地址段訪問,授權對象填寫允許遠程連接的 IP 地址段,格式為 x.x.x.x/xx,即 IP地址/子網掩碼,本例中的地址段為 182.92.253.20/32。優先級為 1。
- 再添加一條規則,拒絕訪問,協議類型選擇 TCP,端口寫 22/22,授權類型為地址段訪問,授權對象寫所有 0.0.0.0/0,優先級為 2。
- 再添加一條規則,允許訪問,協議類型選擇全部,端口全部默認,授權對象寫所有 0.0.0.0/0,優先級為 3。
添加完畢後總共如下三條規則就可以了。設置完之後:
- 來自 IP 182.92.253.20 訪問 22 端口優先執行優先級為 1 的規則允許。
- 來自其他 IP 訪問 22 端口優先執行優先級為 2 的規則拒絕了。
- 訪問其他端口執行優先級為 3 的規則允許。
案例 4:隻允許實例訪問外部特定 IP
您可以先配置一條公網出方向規則禁止訪問任何 IP(0.0.0.0/0),然後再添加一條公網出方向規則允許實例對外訪問的IP。允許規則的優先級設置成高於禁止規則的優先級。
單擊 公網出方向>添加安全組規則,授權策略選擇 拒絕,授權對象 0.0.0.0/0,優先級可設置為比1大的數字。
在公網出方向繼續添加安全組規則,授權策略選擇 允許,授權對象是允許實例訪問的特定外部 IP。
在實例內部進行 ping、telnet 等測試,訪問非允許規則中列出的 IP均不通,說明安全組的限製已經生效。
最後更新:2016-12-20 13:35:54
上一篇: 刪除自定義鏡像__鏡像_用戶指南_雲服務器 ECS-阿裏雲
下一篇: 安全組默認規則__安全組_用戶指南_雲服務器 ECS-阿裏雲
- 阿裏雲手機係統能否挑戰安卓和蘋果操作係統?
- 獲取訪問AK__快速入門_消息服務-阿裏雲
- 資源訪問控製__授權管理_用戶指南_訪問控製-阿裏雲
- 圖模型開發和調試__圖模型_大數據計算服務-阿裏雲
- SplitShard__日誌庫相關接口_API-Reference_日誌服務-阿裏雲
- Spark 作業配置__作業_用戶指南_E-MapReduce-阿裏雲
- ALIYUN::ECS::InstanceGroupClone__資源列表_資源編排-阿裏雲
- 短信簽名的要求是什麼?__常見問題_短信服務-阿裏雲
- 修改專有網絡屬性__專有網絡相關接口_API 參考_雲服務器 ECS-阿裏雲
- 1.4 導入數據__快速入門_分析型數據庫-阿裏雲
相關內容
- 常見錯誤說明__附錄_大數據計算服務-阿裏雲
- 發送短信接口__API使用手冊_短信服務-阿裏雲
- 接口文檔__Android_安全組件教程_移動安全-阿裏雲
- 運營商錯誤碼(聯通)__常見問題_短信服務-阿裏雲
- 設置短信模板__使用手冊_短信服務-阿裏雲
- OSS 權限問題及排查__常見錯誤及排除_最佳實踐_對象存儲 OSS-阿裏雲
- 消息通知__操作指南_批量計算-阿裏雲
- 設備端快速接入(MQTT)__快速開始_阿裏雲物聯網套件-阿裏雲
- 查詢API調用流量數據__API管理相關接口_API_API 網關-阿裏雲
- 使用STS訪問__JavaScript-SDK_SDK 參考_對象存儲 OSS-阿裏雲