云服务器 ECS 安全:经典网络内网实例互通设置方法-阿里云开发者社区

开发者社区> 琴瑟> 正文

云服务器 ECS 安全:经典网络内网实例互通设置方法

简介:
+关注继续查看


经典网络内网实例互通设置方法

安全组是实例级别防火墙,为保障实例安全,设置安全组规则时要遵循“最小授权”原则,下面介绍四种安全的内网实例互通设置方法。

方法 1. 使用单 IP 地址授权

  • 适用场景:适用于小规模实例间内网互通场景。
  • 优点:以IP地址方式授权,安全组规则清晰,容易理解。
  • 缺点:内网互通实例数量较多时,会受到安全组规则条数 100 条的限制,另外后期维护工作量比较大。
  • 设置方法:

    • 选择需要互通的实例,进入 本实例安全组。
    • 选择需要配置安全组,单击 配置规则。
    • 单击 内网入方向,并单击 添加安全组规则。
    • 按以下描述添加安全组规则:

      • 授权策略:允许;
      • 协议类型:根据实际需要选择协议类型;
      • 端口范围:根据您的实际需要设置端口范围,格式为“起始端口号/终止端口号”;
      • 授权类型:地址段访问;
      • 授权对象:输入想要内网互通的实例的内网 IP 地址,格式必须是 a.b.c.d/32。其中,子网掩码必须是 /32。

image


方法 2. 加入同一安全组

  • 适用场景:如果您的应用架构比较简单,可以为所有的实例选择相同的安全组,绑定同一安全组的实例之间不用设置特殊规则,默认网络互通。
  • 优点:安全组规则清晰。
  • 缺点:仅适用于简单的应用网络架构,网络架构调整时授权方法要随之进行修改。

方法 3. 绑定互通安全组

  • 适用场景:为需要互通的实例增加绑定一个专门用于互通的安全组,适用于多层应用网络架构场景。
  • 优点:操作简单,可以迅速建立实例间互通,可应用于复杂网络架构。
  • 缺点:实例需绑定多个安全组,安全组规则阅读性较差。
  • 设置方法:

    • 新建一个安全组,命名为“互通安全组”,不需要给新建的安全组添加任何规则。
    • 将需要互通的实例都添加绑定新建的“互通安全组”,利用同一安全组的实例之间默认互通的特性,达到内网实例互通的效果。

方法 4. 安全组互信授权

  • 适用场景:如果您的网络架构比较复杂,各实例上部署的应用都有不同的业务角色,您就可以选择使用安全组互相授权方式。
  • 优点:安全组规则结构清晰、阅读性强、可跨账户互通。
  • 缺点:安全组规则配置工作量较大。
  • 设置方法:

    • 选择需要建立互信的实例,进入 本实例安全组。
    • 选择需要配置安全组,单击 配置规则。
    • 单击 内网入方向,并单击 添加安全组规则。
    • 按以下描述添加安全组规则:

      • 授权策略:允许;
      • 协议类型:根据您的实际需要选择协议类型;
      • 端口范围:根据实际需求设置;
      • 授权类型:安全组访问。
      • 授权对象:

        • 如果您选择 本账号授权:按照您的组网要求,将有内网互通需求的对端实例的安全组 ID 填入 授权对象 即可。
        • 如果您选择 跨账号授权:授权对象 应填入对端实例的安全组 ID;账号 ID 是对端账号 ID(可以在 账号管理 > 安全设置 里查到)。


image
image


建议

如果前期安全组授权过大,建议采用以下流程收紧授权范围。


image


图中 删除 0.0.0.0 是指删除原来的允许 0.0.0.0/0 地址段的安全组规则。

如果安全组规则变更操作不当,可能会导致您的实例间通信受到影响,请在修改设置前备份您要操作的安全组规则,以便出现互通问题时及时恢复。

安全组映射了实例在整个应用架构中的角色,推荐按照应用架构规划防火墙规则。例如:常见的三层 Web 应用架构就可以规划三个安全组,将部署了相应应用或数据库的实例绑定对应的安全组:

  • Web 层安全组:开放 80 端口;
  • APP 层安全组:开放 8080 端口;
  • DB 层安全组:开放 3306 端口。

原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
安全管理最佳实践系列:给ECS实例配置一个RAM角色身份(使用动态STS-Token访问云服务API)
如果你的应用程序部署在ECS实例中,你可能会苦恼于应用程序的AK配置安全问题及管理难的问题。为此阿里云提供了给ECS实例配置RAM角色的解决方案,使得运行ECS实例中的应用程序将不再需要配置AK,而只需要从ECS Metadata服务中获取StsToken就可以访问阿里云服务API,让你不再担心应用程序的AK配置安全问题和难管理的问题。
6704 0
ECS控制台实例支持批量加入多个安全组
当实例需要加入到多个安全组时,可以通过实例批量加入多个安全组的功能优化进行操作省时省力,话不多说进入介绍环节
2428 0
云服务器ECS安全组实践(一)
应用上云除了对资源生命周期管理和应用交付是一个转变,更重要是思维方式的转变。本篇文章就简单介绍下上云的一个重要概念安全组(Security Group)。本文是安全组系列的第一篇,主要介绍安全组的基本概念、约束和如何配置入网规则。
20425 0
私有静态内部类实现线程安全的单例
利用私有静态内部类实现线程安全的单例
5622 0
政企数字化转型,不可不知的安全内容分发网络实践指南
在后疫情时代,数字化已经成为中国经济的主要驱动力,政企的数字化转型被按下快进键。作为承载数字经济的“关键信息基础设施”,既要满足网络化、在线化的用户体验需要,又要符合逐渐加强的安全监管要求。这已经成为各类政企互联网应用服务所需面临的最大挑战之一,如何为关键信息基础设施构建安全的内容分发网络?看看阿里云产品专家曾林青出席在中国网络安全年会上分享了什么。
956 0
+关注
琴瑟
TA有点害羞,没有介绍自己...
256
文章
597
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载