云服务器 ECS 安全:经典网络内网实例互通设置方法

经典网络内网实例互通设置方法

安全组是实例级别防火墙,为保障实例安全,设置安全组规则时要遵循“最小授权”原则,下面介绍四种安全的内网实例互通设置方法。

方法 1. 使用单 IP 地址授权

  • 适用场景:适用于小规模实例间内网互通场景。
  • 优点:以IP地址方式授权,安全组规则清晰,容易理解。
  • 缺点:内网互通实例数量较多时,会受到安全组规则条数 100 条的限制,另外后期维护工作量比较大。
  • 设置方法:
    • 选择需要互通的实例,进入 本实例安全组。
    • 选择需要配置安全组,单击 配置规则。
    • 单击 内网入方向,并单击 添加安全组规则。
    • 按以下描述添加安全组规则:
    • 授权策略:允许;
    • 协议类型:根据实际需要选择协议类型;
    • 端口范围:根据您的实际需要设置端口范围,格式为“起始端口号/终止端口号”;
    • 授权类型:地址段访问;
    • 授权对象:输入想要内网互通的实例的内网 IP 地址,格式必须是 a.b.c.d/32。其中,子网掩码必须是 /32。

方法 2. 加入同一安全组

  • 适用场景:如果您的应用架构比较简单,可以为所有的实例选择相同的安全组,绑定同一安全组的实例之间不用设置特殊规则,默认网络互通。
  • 优点:安全组规则清晰。
  • 缺点:仅适用于简单的应用网络架构,网络架构调整时授权方法要随之进行修改。

方法 3. 绑定互通安全组

  • 适用场景:为需要互通的实例增加绑定一个专门用于互通的安全组,适用于多层应用网络架构场景。
  • 优点:操作简单,可以迅速建立实例间互通,可应用于复杂网络架构。
  • 缺点:实例需绑定多个安全组,安全组规则阅读性较差。
  • 设置方法:
    • 新建一个安全组,命名为“互通安全组”,不需要给新建的安全组添加任何规则。
    • 将需要互通的实例都添加绑定新建的“互通安全组”,利用同一安全组的实例之间默认互通的特性,达到内网实例互通的效果。

方法 4. 安全组互信授权

  • 适用场景:如果您的网络架构比较复杂,各实例上部署的应用都有不同的业务角色,您就可以选择使用安全组互相授权方式。
  • 优点:安全组规则结构清晰、阅读性强、可跨账户互通。
  • 缺点:安全组规则配置工作量较大。
  • 设置方法:
    • 选择需要建立互信的实例,进入 本实例安全组。
    • 选择需要配置安全组,单击 配置规则。
    • 单击 内网入方向,并单击 添加安全组规则。
    • 按以下描述添加安全组规则:
    • 授权策略:允许;
    • 协议类型:根据您的实际需要选择协议类型;
    • 端口范围:根据实际需求设置;
    • 授权类型:安全组访问。
    • 授权对象:
      • 如果您选择 本账号授权:按照您的组网要求,将有内网互通需求的对端实例的安全组 ID 填入 授权对象 即可。
      • 如果您选择 跨账号授权:授权对象 应填入对端实例的安全组 ID;账号 ID 是对端账号 ID(可以在 账号管理 > 安全设置 里查到)。


建议

如果前期安全组授权过大,建议采用以下流程收紧授权范围。

图中 删除 0.0.0.0 是指删除原来的允许 0.0.0.0/0 地址段的安全组规则。

如果安全组规则变更操作不当,可能会导致您的实例间通信受到影响,请在修改设置前备份您要操作的安全组规则,以便出现互通问题时及时恢复。

安全组映射了实例在整个应用架构中的角色,推荐按照应用架构规划防火墙规则。例如:常见的三层 Web 应用架构就可以规划三个安全组,将部署了相应应用或数据库的实例绑定对应的安全组:

  • Web 层安全组:开放 80 端口;
  • APP 层安全组:开放 8080 端口;
  • DB 层安全组:开放 3306 端口。

原文链接

时间: 2024-10-23 21:38:37

云服务器 ECS 安全:经典网络内网实例互通设置方法的相关文章

云服务器 ECS 最佳实践:借助于实例 RAM 角色访问其它云产品 API

借助于实例 RAM 角色访问其它云产品 API 概述 以往部署在 ECS 实例中的应用程序如果需要访问阿里云其他云产品的 API,您通常需要借助 Access Key ID 和 Access Key Secret(下文简称 AK)来实现.AK 是您访问阿里云 API 的密钥,具有相应账号的完整权限.为了方便应用程序对 AK 的管理,您通常需要将 AK 保存在应用程序的配置文件中或以其他方式保存在 ECS 实例中,这在一定程度上增加了 AK 管理的复杂性,并且降低了 AK 的保密性.甚至,如果您需

云服务器 ECS 搭建WordPress网站:购买 Linux 实例

购买 Linux 实例 对于个人使用的小型网站,一台云服务器 ECS 实例可以满足需求.这里只介绍新购实例.如果您有镜像,可以使用自定义镜像创建实例. 注意:这个文档中描述的实例将结合 云市场 的 阿里云linux一键安装web环境 使用,而这个产品目前仅支持 CentOS.Ubuntu 和 Aliyun Linux. 操作步骤 1.登录 云服务器管理控制台.如果尚未注册,单击 免费注册. 2.定位到 云服务器 ECS > 实例.单击 创建实例. 3.选择付费方式:包年包月 或 按量付费.因为目

云服务器 ECS 使用OpenAPI管理ECS:使用OpenAPI弹性创建ECS实例

使用OpenAPI弹性创建ECS实例 除了可以在ECS控制台或售卖页创建 ECS 外,您还可以使用 OpenAPI 代码来弹性地创建和管理ECS.本页面使用 Python 为例进行说明. 创建 ECS 时需关注以下 API: 创建ECS实例 查询实例列表 启动ECS实例 分配公网IP地址 前提条件 开通按量付费产品,您的账户余额不得少于 100 元,更多的需求参见 ECS使用须知.您需要在阿里云的费用中心确保自己的余额充足. 创建按量云服务器 创建云服务器时的必选属性: SecurityGrou

云服务器 ECS 安全:如何提高ECS实例的安全性

如何提高ECS实例的安全性 云服务器 ECS 实例是一个虚拟的计算环境,包含了 CPU.内存.操作系统.磁盘.带宽等最基础的服务器组件,是 ECS 提供给每个用户的操作实体. 我们基本可以理解为一个实例就等同于一台虚拟机,那么我们在本地维护的虚拟机一般会做虚拟机实例级别的安全防护,以防止虚拟机被攻击和入侵等.同样的,云上的ECS实例也需要做安全性防护. ECS实例放置在云上,除了置身于阿里云自身的安全平台外,用户也需要根据实际的需求进一步定制化安全,所以说ECS的安全是阿里云和用户共同构建的.如

云服务器 ECS快速入门:远程连接 ECS 实例

远程连接 ECS 实例 阿里云在控制台为您提供了 管理终端,方便您远程连接并管理 ECS 实例. 您也可以使用其他方式远程连接 ECS 实例: 如果是 Linux 实例: 使用 SSH 密钥对连接 Linux 实例 使用远程连接软件或 SSH 命令连接 Linux 实例 如果是 Windows 实例:使用远程连接软件连接 Windows 实例 以下是使用 管理终端 连接 ECS 实例操作步骤的简易说明. 登录 云服务器 ECS 管理控制台. 在左侧导航栏里,单击 实例. 在 实例列表 页上,选择

云服务器 ECS 使用OpenAPI管理ECS:使用OpenAPI弹性释放ECS实例

使用OpenAPI弹性释放ECS实例 云服务器 ECS 的一个重要特性就是按需创建资源.您可以在业务高峰期按需弹性地进行自定义资源创建,完成业务计算时释放资源.本篇将提供若干 Tips 帮助您更加便捷地完成云服务器的释放以及弹性设置. 本文将涉及到几个重要功能和相关API: 释放按量付费的云服务器 设置按量付费实例的自动释放时间 停止服务器 查询实例列表 释放后,实例所使用的物理资源将被回收,包括磁盘及快照,相关数据将全部丢失且永久不可恢复.如果您还想继续使用相关的数据,建议您释放云服务器之前一

云服务器 ECS 使用OpenAPI管理ECS:使用OpenAPI弹性管理ECS实例

使用OpenAPI弹性管理ECS实例 您除了可以通过 ECS 管理控制台 创建或管理 ECS 实例外,您也能通过 OpenAPI 管理或定制开发 ECS 实例. 阿里云提供了 SDK 来包装 OpenAPI,将云服务器 ECS 的管理集成到已有系统中.本文基于 Python 的开发来说明如何通过 OpenAPI 管理 ECS 实例.如果您没有 Python 开发经验,也能通过本文完成云服务的开发. 获取 RAM 子账号 AK 密钥 使用 OpenAPI 管理 ECS 实例,您需要能访问 ECS

云服务器ECS安全组实践(二)

云服务器ECS安全组实践(一)中我们简单介绍了安全组的一些规则和约束和实践,在创建一台云服务的时候,它作为几个必选参数之一,可见它的重要性.本文将继续安全组的介绍,本篇涉及到下面的几个内容: 授权和撤销安全组规则 加入安全组和离开安全组 阿里云的网络类型分为经典网络和VPC,他们对安全组支持不同的设置规则.对于经典网络你可以设置下面的几个规则: 内网入方向.内网出方向.公网入方向.公网出方向.对于VPC网络可以设置: 内网入方向.内网出方向. 在开始本篇之前描述几个安全组内网通讯的概念: 默认情

云服务器 ECS 建站教程:搭建Joomla基础管理平台

搭建Joomla基础管理平台 Joomla是一套知名的内容管理系统.Joomla是使用PHP语言加上Mysql数据开发的软件系统,Joomla的最新版本是3.x,这一版本实现了许多技术上的优化调整,是目前的稳定版本. 本文主要说明如何在阿里云ECS上搭建Joomla基础管理平台.使用的操作系统为Linux CentOS 6.5 64位. 适用对象 适用于熟悉 ECS,熟悉 Linux 系统, ECS 实例搭建刚开始使用阿里云进行建站的用户. 基本流程 使用云服务器 ECS 搭建 Joomla 平