安全组是实例级别防火墙,为保障实例安全,设置安全组规则时要遵循最小授权原则,下面介绍四种安全的内网实例互通设置方法。
方法一:使用单IP地址授权
- 适用场景:适用于小规模实例间内网互通场景。
- 优点:以IP地址方式授权,安全组规则清晰,容易理解。
- 缺点:内网互通实例数量较多时,会受到安全组规则条数200条的限制,并且后期维护工作量比较大。
设置方法如下:
- 选择需要互通的实例,进入本实例安全组。
- 选择需要配置安全组,单击配置规则。
- 单击内网入方向,并单击添加安全组规则。
- 按以下描述添加安全组规则:
- 授权策略:允许。
- 协议类型:根据实际需要选择协议类型。
- 端口范围:根据您的实际需要设置端口范围,格式为起始端口号/终止端口号。
- 授权类型:地址段访问。
- 授权对象:输入想要内网互通的实例的内网 IP 地址,格式必须是a.b.c.d/32。其中,子网掩码必须是 /32。
方法二:加入同一安全组
- 适用场景:如果您的应用架构比较简单,可以为所有的实例选择相同的安全组,绑定同一安全组的实例之间不用设置特殊规则,默认网络互通。
- 优点:安全组规则清晰。
- 缺点:仅适用于简单的应用网络架构,网络架构调整时授权方法要随之进行修改。
设置方法,请参见ECS实例加入安全组。
方法三:绑定互通安全组
- 适用场景:为需要互通的实例增加绑定一个专门用于互通的安全组,适用于多层应用网络架构场景。
- 优点:操作简单,可以迅速建立实例间互通,可应用于复杂网络架构。
- 缺点:实例需绑定多个安全组,安全组规则阅读性较差。
设置方法如下:
- 新建一个安全组并命名,例如:互通安全组,不需要给新建的安全组添加任何规则。
- 将需要互通的实例都添加绑定新建的互通安全组,利用同一安全组的实例之间默认互通的特性,达到内网实例互通的效果。
方法四: 安全组互信授权
- 适用场景:为需要互通的实例增加绑定一个专门用于互通的安全组,适用于多层应用网络架构场景。
- 优点:操作简单,可以迅速建立实例间互通,可应用于复杂网络架构。
- 缺点:实例需绑定多个安全组,安全组规则阅读性较差。
设置方法如下:
- 选择需要建立互信的实例,进入本实例安全组。
- 选择需要配置安全组,单击配置规则。
- 单击内网入方向,并单击添加安全组规则。
- 按以下描述添加安全组规则:
- 授权策略:允许。
- 协议类型:根据您的实际需要选择协议类型。
- 端口范围:根据实际需求设置。
- 授权类型:安全组访问。
- 授权对象:
- 如果您选择本账号授权:按照您的组网要求,将有内网互通需求的对端实例的安全组ID填入授权对象即可。
- 如果您选择跨账号授权:授权对象应填入对端实例的安全组ID,账号 ID是对端账号ID(可以在账号管理 > 安全设置里查到)。
- 如果您选择本账号授权:按照您的组网要求,将有内网互通需求的对端实例的安全组ID填入授权对象即可。
建议
如果前期安全组授权过大,建议采用以下流程收紧授权范围。
图中的删除0.0.0.0是指删除原来的允许0.0.0.0/0地址段的安全组规则。
如果安全组规则变更操作不当,可能会导致您的实例间通信受到影响,请在修改设置前备份您要操作的安全组规则,以便出现互通问题时及时恢复。
安全组映射了实例在整个应用架构中的角色,推荐按照应用架构规划防火墙规则。例如:常见的三层Web应用架构就可以规划三个安全组,将部署了相应应用或数据库的实例绑定对应的安全组:
- Web层安全组:开放80端口。
- APP层安全组:开放8080端口。
- DB层安全组:开放3306端口。
转自: 经典网络内网实例互通设置方法
555
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
