开发者社区> 阿里云小秘> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云服务器安全组设置内网互通的方法

简介: 虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
+关注继续查看
注意,请先到阿里云官网 领取幸运券,除了价格上有很多优惠外,还可以参与抽奖。详见:https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=2a7uv47d&utm_source=2a7uv47d

    相信接触过安全组的同学肯定都知道0.0.0.0/0,这个特殊的地址段代表了所有IPV4地址,当您不能确认目标或来源地址时一般就用它来代替,例如,公网提供HTTP服务的应用就会利用0.0.0.0/0作为公网安全组入规则的来源地址。

    虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。


内网安全组互通设置方法:


1. 使用IP地址授权

    如果内网互联的实例数量较少,建议使用IP地址授权方式。

    设置方法:在安全组列表控制台,选择想要互通的实例的安全组,点击“添加安全组规则”,“授权类型”选择“地址段访问”,在“授权对象”中填入想要互通的实例的内网IP地址, 格式例如:a.b.c.d/32

917a2c8ab2524570a4aa5d8cd595fc1606f64786

优点:安全组规则清晰,好理解。

缺点:有可能受到安全组规则条数100条的限制,实例数目发生变化时维护工作量较大。


2. 加入同一安全组

    如果您的网络架构比较简单,实例中部署的业务相同,您就可以为所有的实例选择相同的安全组,绑定同一安全组的实例之间不用设置特殊规则、默认是网络互通的。


优点:安全组规则清晰。

缺点:适用于单一的应用架构,网络架构变更时需要做调整。


3. 绑定互通安全组

    为需要互通的实例新添加绑定一个专门互通用的安全组,适用于较为复杂的网络架构。

    设置方法:新建一个安全组,命名为“互通安全组”,不用给新建的安全组添加任何规则。将需要互通的实例都添加绑定新建的“互通安全组”,利用同一安全组的实例之间默认互通的特性,达到内网实例互通的效果。


优点:操作简单,适用于复杂网络架构。

缺点:安全组规则阅读性较差。


4. 安全组互信授权

    如果您的网络架构比较复杂,各实例上部署的应用都有不同的业务角色,您就可以选择使用安全组互相授权方式。

    设置方法:在安全组列表控制台,分别选择想要建立互信的实例的安全组,点击“添加安全组规则”,授权类型选择“安全组访问”

ff439562ecfcc653e3d19d76d9378805165a8654

    在添加经典网络安全组内网入方向规则时,选择“授权策略”为“允许”, “授权类型”为“安全组访问”。您将会看到右侧的两个选择:“本账号授权”,“跨账号授权”,按照您的组网要求,将有互联需求的对端实例的安全组ID填入下方的授权对象中,这样就建立了安全组互信,建立安全组互信后的实例间通信就没有阻碍了。

7fa6191ef505d989504af54e1b9c9114d6c0c918


优点:安全组规则结构清晰、阅读性强、可跨账户互通

缺点:操作稍复杂


适用范围:

  • 使用IP地址授权:适用于小规模实例间内网互通场景
  • 加入同一安全组:适用于所有实例同属于单一应用架构场景
  • 绑定互通安全组:快速达到内网互通效果,适用于多层应用网络架构场景
  • 安全组互信授权:规则结构清晰,阅读性强,适合多层应用网络架构场景

推荐的0.0.0.0/0替换流程

d587c3c32e11176066f3fab85104d3ada775f959

    如果安全组规则变更操作不当,可能会导致您的实例间通信受到影响,请在修改设置前备份您要操作的安全组规则,以便出现互通问题时及时恢复。


    另外,安全组是实例级别防火墙,它映射了所绑定的实例在整个应用网络架构中的业务角色,所以推荐大家按照自己的应用网络架构规划防火墙。例如:常见的三层WEB应用架构就可以规划为三个安全组:1. WEB 层安全组 (开放80端口)2. APP 层安全组(开放8080端口) 3 DB层安全组 (开放3306端口)。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云ECS配置内网穿透服务器
阿里云ECS配置内网穿透服务器 包含FRP zerotier
402 0
阿里云服务器开通1723端口教程配置安全组规则
阿里云服务器安装PPTP需要1723端口,阿里云服务器默认没有开通1723端口,可以在云服务器安全组中开放1723端口
263 0
怎么使用远程连接功能连接阿里云服务器ECS 实例?
我们都知道,一般都是通过远程连接工具(比如 Putty、Xshell、SecureCRT 等)来连接云服务器进行操作和管理,但是当普通远程连接工具无法使用时,其实您还可以使用阿里云服务器管理控制台的远程连接功能进入 ECS 实例登录界面,查看服务器界面当时状态;如果您拥有操作权限,可以连接到服务器进行操作配置,这一功能对于有技术能力的用户解决自己遇到的问题有很大的帮助 > 如果你还没有拥有阿里云服务器ecs,那么你现在可以点击这里进行购买:[阿里云服务器ecs3折入口]
9681 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
21824 0
阿里云服务器添加安全组规则(图文教程)
阿里云服务器添加安全组规则(图文教程)
2543 0
阿里云服务器ECS实例创建记录
要了解互联网,最好的方法就是找一个能够参与其中的事情亲自动手来做,一直以来,我都只是一个看客,只有看而没有做,现在选择建立一个网站,便是要动手实践,只有理论联系实际,才能透彻了解。我按照阿里云文档"零基础入门—网站建站教程(新手必备)"里面的介绍,开始了我的建站旅程。
1097 0
阿里云服务器ECS实例创建记录
要了解互联网,最好的方法就是找一个能够参与其中的事情亲自动手来做,一直以来,我都只是一个看客,只有看而没有做,现在选择建立一个网站,便是要动手实践,只有理论联系实际,才能透彻了解。我按照阿里云文档"零基础入门—网站建站教程(新手必备)"里面的介绍,开始了我的建站旅程。
2341 0
安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。
1666 0
安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。
14554 0
+关注
阿里云小秘
从2005年起帮助客户搭建网站,有十多年网站搭建经验,长期使用并熟悉阿里云服务器、域名、云虚拟主机、云企业邮箱等产品。
289
文章
16
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载