开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程:通过交换机和路由器进行 VPC 安全】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/573/detail/7881
通过交换机和路由器进行 VPC 安全
内容介绍:
一、通过交换机和路由器进行 VPC 管理
二、 VPC 中子网路由的管理
三、通过安全组控制 VPC 安全
四、常见问题和使用限制
一、通过交换机和路由器进行 VPC 管理
1.创建 VPC 网络
登录阿里云首页,点击“产品”,选择“云计算基础”,点击“专有网络 VPC ”
点击“管理控制台”返回控制台;
注意选择地域;
选择好之后点击“创建专有网络”;
在此界面创建专有网络;
2.创建虚拟交换机
3.创建路由表
点击路由表;
点击实例,即可看到默认的路由表条目;
可以点此添加路由表条目;
二、 VPC 中子网路由的管理
• 系统路由
创建专有网络后,系统会自动为用户创建一张默认路由表并为其添加系统路由来管理专有网络的流量。一个 VPC 只有一张系统路由表。
该系统路由表在创建 VPC 的时候自动为用户创建,用户不能手动创建也不能删除默认系统路由表。
创建专有网络后,系统会在路由表中自动添加如下系统路由:
以100.64.0.0/10为目标网段的路由条目,用于 VPC 内的云产品通信。
以交换机网段为目标网段的路由条目,用于交换机内的云产品通信。
例:创建了一个网段为192.168.0.0/1 6的专有网络,并在该专有网络下创建了两个网段为192.168.1.0/24和192.168.0.0/24的交换机,则该专有网络的路由表中会有如下三条系统路由:
• 查看路由表
1.登录专有网络管理控制台;
2.在左侧导航栏,单击路由表;
3.选择地域,然后单击管理或路由表的 ID 链接,查看路由表的详细信息。
• 添加自定义路由
1.登录专有网络管理控制台;
2.2.在左侧导航栏,单击路由表;
3.3.选择地域,然后单击管理或路由表的 ID 链接;单击添加路由条目;
4.4.在弹出的对话框,配置路由条目,然后点击确定。
三、通过安全组控制 VPC 安全
1.安全组概述
安全组是一种虚拟防火墙,具备状态检测包过滤功能。
安全组用于设置单台或多台云服务器的网络访问控制,它是重要
网络安全隔离手段,用于在云端划分安全域。
安全组是一个逻辑上的分组,这个分组是由同一个地域( Region ) 内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。
最小原则:
安全组应该是白名单性质的,所以需尽量开放和暴露最少的端口,同时尽可能少地分配公网 IP 。
2.创建安全组
一个 VPC 类型的 ECS 实例只能加入本 VPC 的安全组。
用户可以随时授权和取消安全组规则。用户的变更安全组规则会自动应用于与安全组相关联的 ECS 实例上。
3.安全组规则
• 入方向:授权/拒绝某个 IP 或 CIDR 通过某个协议类型访问安全组内部实例指定的端口范围
• 出方向:授权/拒绝安全组内部实例通过某个协议访问某个 IP或 CIDR 的指定的端口范围
• 当访问控制规则冲突时,优先级高的规则生效,优先级相同时,“拒绝” 的规则生效
四、常见问题和使用限制
1.常见问题
• 每个专有网络可以有多个路由器?
每个专有网络有且只有一个路由器,每个路由器维护一个路由表。
• 如何选择交换机的网段?
交换机的网段必须从属于所属专有网络的网段。如果交换机网段和所属的VPC的网段相同,VPC內就只能创建一个交换机。
阿里云 VPC 提供了192.168.0.0/16,172.16.0.0/12,10.0.0.0/8以及它们的子网供用户选择使用。
2.使用限制
1)资源的默认限制及其提升配额
①每个地域可创建的专有网络数量默认配置为10,提升配额为提交工单
②专有网络可选的网段范畴默认配置192.168.0.0/16,172.16.0.0/12,10.0.0.0/8以及它们的子网,提升配额为提交工单
③单个专有网络的路由器数量默认配置为1,提升配额为无法调整
④单个专有网络的交换机数量默认配置为24,提升配额为提交工单
⑤单个专有网络的路由表数量默认配置为10,提升配额为提交工单
⑥单个路由表的自定义路由条目数量默认配置为48,提升配额为提交工单
⑦单个专有网络容纳云产品数量默认配置为15000,提升配额为无法调整
2)路由器和交换机
①路由器 限制说明
• 每个 VPC 有且只有1个路由器。
• 路由器不支持 BGP 和 OSPF 等动态路由协议。
• 每个路由器有且只有1个路由表。
• 路由表的路由条目会影响 VPC 中的所有云产品实例。目前不支持指定交换机和云产品实例的源地址策略路由。
②交换机 限制说明
• VPC 的交换机不支持二层广播和组播。
• 交换机本身对云产品实例数量没有限制。它能够容纳多少实例,取决于所在专有网络当前的云产品实例数量,即15.000减去当前已保有的云产品数量。
• 交换机的网段不可以进行修改。
