通过安全组授权入网经典网络的安全组

最新推荐文章于 2023-08-17 17:45:04 发布
最新推荐文章于 2023-08-17 17:45:04 发布
阅读量366 收藏
点赞数
文章标签: json 网络 python
原文链接:https://yq.aliyun.com/articles/71123
版权
安全组入网规则授权说明

如果有两个用户,用户A有一个安全组A1,另外一个安全组A2, 另外一个用户B有一个安全组B1,安全组A2和安全组B1的云服务器想要实现对安全组A中的云服务器进行网络访问,需要进行下面的设置。

访问经典网络user-A-sg-1安全组内资源的入网规则设置如下表所示,您可以通过控制台直接操作也可以调用OpenApi来实现.

设置同一用户的安全组 user-A-sg-1的服务器同一用户的安全组 user-A-sg-2的服务器另一个用户B的安全组 user-B-sg-1 服务器
入方向访问互通不通不通
入方向设置不需要设置1. 在user-A-sg-1的安全组内网入规则加一条规则, ["SourceGroupId": "user-A-sg-2", "IpProtocol": "tcp", "PortRange": "80/80"] 2. 在user-A-sg-1的安全组内网入规则加一条规则, ["SourceCidrIp": "IP地址/32", "IpProtocol": "tcp", "PortRange": "80/80"]1. 在user-A-sg-1的安全组内网入规则加一条规则, ["SourceGroupId": "user-B-sg-1", "SourceGroupOwnerId": "user-B", "IpProtocol": "tcp", "PortRange": "80/80"] 2. 在user-A-sg-1的安全组内网入规则加一条规则, ["SourceCidrIp": "IP地址/32", "IpProtocol": "tcp", "PortRange": "80/80"]
安全组设置内网互通的方法

操作指引 参见 安全组设置内网互通的方法

将当前账号下的经典网络安全组通过安全组授权入网

如果之前已经在经典网络上设置了允许过大的入网网段访问,例如 0.0.0.0/0 或者 10.0.0.0/8。如果你没有授权其他的用户访问当前安全组内资源的计划,你可以选择添加其他的安全组作为入网的授权规则,逐个添加完其他的安全组之后测试您的应用,逐个删除之前过大的CIDR网段。

下面提供了一个脚本,它将会根据您的入参安全组ID,将本region内其他的有云服务器的安全组作为入网规则加入您的安全组之中。目前这个版本有如下限制, 附件中包含所有的代码。

  • 不支持VPC类型的安全组
  • 不支持已添加和即将添加的规则超过100条的场景
  • 您可以选择ignore一些安全组,不加入
  • 只支持单个region 50个安全组的场景
#  coding=utf-8

# if the python sdk is not install using 'sudo pip install aliyun-python-sdk-ecs'
# if the python sdk is install using 'sudo pip install --upgrade aliyun-python-sdk-ecs'
# make sure the sdk version is 2.1.2, you can use command 'pip show aliyun-python-sdk-ecs' to check

import json
import logging

from aliyunsdkcore import client
from aliyunsdkecs.request.v20140526.AuthorizeSecurityGroupRequest import \
    AuthorizeSecurityGroupRequest
from aliyunsdkecs.request.v20140526.DescribeSecurityGroupAttributeRequest import \
    DescribeSecurityGroupAttributeRequest
from aliyunsdkecs.request.v20140526.DescribeInstancesRequest import DescribeInstancesRequest


# configuration the log output formatter, if you want to save the output to file,
# append ",filename='ecs_invoke.log'" after datefmt.
from aliyunsdkecs.request.v20140526.DescribeSecurityGroupsRequest import \
    DescribeSecurityGroupsRequest

logging.basicConfig(level=logging.INFO,
                    format='%(asctime)s %(filename)s[line:%(lineno)d] %(levelname)s %(message)s',
                    datefmt='%a, %d %b %Y %H:%M:%S')

clt = client.AcsClient('Your Access Key Id', 'Your Access Key Secrect', 'cn-beijing')

TOTAL_COUNT = 'TotalCount'
# 需要开放的端口范围 协议为tcp、udp时默认端口号,取值范围为1~65535;例如“1/200”意思是端口号范围为1~200,若输入值为:“200/1”接口调用将报错。
# 协议为icmp时端口号范围值为-1/-1;
# gre协议时端口号范围值为-1/-1;
# 协议为all时端口号范围值为-1/-1
PORT_RANGE = '-1/-1'

# IP协议,取值:tcp | udp | icmp | gre | all;
# all表示同时支持四种协议
IP_PROTOCOL = 'all'

# 网络协议,这里只设置经典网络的安全组的内网规则
NIC_TYPE = 'intranet'

# 接受协议
POLICY = 'accept'

# 优先级 1-100, 1最高 100最容易被覆盖
PRIORITY = 10

# 经典网络的ID不需要添加到规则里面的接受规则里面的
SECURITY_GROUP_IDS_IGNORE_ADD = ['sg-ignore-1', 'sg-ignore-2', 'sg-ignore-3']

# 这个工具用来扫描您的经典网络安全组,并且将同一个Region下其它有ECS的经典网络的安全组ID添加到您的内网入规则中,
# 以实现您的一个region内的所有的ECS内网互通。目前这个脚本只支持单region下50个安全组。
# dry run 仅仅计算不执行
def add_security_group_rule(sg_id, priority=10, dry_run=True):
    request = DescribeSecurityGroupsRequest()
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    security_groups = response.get('SecurityGroups').get('SecurityGroup')
    if len(security_groups) == 0:
        logging.error("Current input security group id %s can not be found in current region",
                      sg_id)
    else:
        sg_detail = security_groups[0]
        if sg_detail is not None:
            vpc_id = sg_detail.get('VpcId')
            if vpc_id != '':
                logging.error(
                    "The tools is only for classical security group now, not support vpc security group %s.",
                    sg_id)
            else:
                current_permissions = query_sg_rules_for_sg(sg_id)
                logging.info(current_permissions)
                SECURITY_GROUP_IDS_IGNORE_ADD.append(sg_id)
                sg_ids = query_all_classical_security_group_include_instance(
                    SECURITY_GROUP_IDS_IGNORE_ADD)
                if len(current_permissions) + len(sg_ids) > 100:
                    logging.error(
                        "Current security group  %s already with too many rules, the max rules is 100 for all the ruels.",
                        sg_id)
                logging.info("it will add %s total in %d rules for security group %s.", sg_ids,
                             len(sg_ids), sg_id)
                if dry_run == False:
                    for sg_id_in in sg_ids:
                        execute_add_classical_intranat_ingress(sg_id, sg_id_in, priority, dry_run)


# 为经典网络的云服务器添加内网的入规则
def execute_add_classical_intranat_ingress(source_sg_id, in_sg_id, priority, dry_run):
    request = AuthorizeSecurityGroupRequest()
    request.set_SecurityGroupId(source_sg_id)
    request.set_IpProtocol(IP_PROTOCOL)
    request.set_Policy(POLICY)
    request.set_NicType(NIC_TYPE)
    request.set_Priority(priority)
    request.set_PortRange(PORT_RANGE)
    request.set_SourceGroupId(in_sg_id)
    if dry_run:
        logging.info("add sg id %s as the in security group id %s", in_sg_id, source_sg_id)
    else:
        response = _send_request(request)
        return response


# 查询当前的安全组下有多少条规则
def query_sg_rules_for_sg(security_group_id):
    request = DescribeSecurityGroupAttributeRequest()
    request.set_SecurityGroupId(security_group_id)
    response = _send_request(request)
    permissions = response.get('Permissions').get('Permission')
    total_count = len(permissions)
    logging.info("Current security group %s with rule %d", security_group_id, total_count)
    return permissions


# 过滤那些安全组有云服务器实例
def query_all_classical_security_group_include_instance(exclude_security_group_ids=[]):
    request = DescribeSecurityGroupsRequest()
    request.set_PageSize(50)
    response = _send_request(request)
    with_instance_sg_ids = []
    total_count = response.get(TOTAL_COUNT)
    if total_count > 100:
        logging.warning("you have more than 100 security group in current region....")
    security_groups = response.get('SecurityGroups').get('SecurityGroup')
    for security_group in security_groups:
        vpc_id = security_group.get('VpcId')
        sg_id = security_group.get('SecurityGroupId')
        if vpc_id == '':
            request = DescribeInstancesRequest()
            request.set_PageSize(1)
            request.set_SecurityGroupId(sg_id)
            list_instance_response = _send_request(request)
            sg_with_instance_count = list_instance_response.get(TOTAL_COUNT)
            if sg_with_instance_count > 0:
                with_instance_sg_ids.append(sg_id)
        else:
            logging.info("security group %s is vpc ", sg_id)
    return list(set(with_instance_sg_ids).difference(set(exclude_security_group_ids)))


# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action(request)
        logging.info(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        logging.error(e)


if __name__ == '__main__':
    logging.info("Hello!")
    # 实际运行中,请选择您的安全组Id,并将Dry_Run设置为False
    # 如果为VPC的安全组就会报错。
    add_security_group_rule('sg-add-rules', PRIORITY, True)
weixin_34279246
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
下一代网络安全测试方法1
08-03
网络安全设备性能评估网络安全设备对攻击的识别和阻断能力评估网络安全设备选型和入网评估在网络部署之前,评估承载和安全能力安全测评体系的支持网络安全竞赛网络安全培训
SpringSecurity授权(访问控制)
wyy的博客
10-30 5432
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
阿里云python sdk_使用阿里云Python SDK管理ECS安全
weixin_39645268的博客
12-21 552
准备工作本机操作系统:CentOS7python版本:python2.7.5还需要准备如下信息:一个云账号、Access Key ID、Access Key Secret、安全ID、Region ID(如cn-shanghai)1 安装阿里云python SDK1 pip install aliyun-python-sdk-ecs2 需求分析我们供应商的开发人员经常需要访问我们的阿里云ECS资源...
Python3获取办公室的公网IP并修改阿里云安全规则】
最新发布
Vergil的博客
08-17 179
博客摘录「 python3固定规则_利用Python3获取办公室的公网IP并修改阿里云安全规则」2023年8月12日。
阿里云 python_阿里云 Python SDK 管理安全
weixin_39780255的博客
12-20 180
#!/usr/bin/env python# coding=utf-8from aliyunsdkcore import clientfrom aliyunsdkecs.request.v20140526 import DescribeSecurityGroupAttributeRequestfrom aliyunsdkecs.request.v20140526 import AuthorizeS...
python api 创建安全管理
qq_62593237的博客
04-19 971
from ast import Return from HwUser import HwUser import json ''' 在云服务器的/root/huawei 目录下编写 create_security_group_rule.py 文件,并导入赛项提供的 HwUser.py 文件获取授权。基于上一题的安全,编写 Python 代码,参考官方相关的API调用文档,创建华为云的安全规则,具体要求为 (1)使用安全名称获取其 ID(不允许直接填写安全 ID); .
阿里云SDK的使用(安全篇)
chihennan6491的博客
07-12 1242
因工作需要,想通过脚本控制阿里云的安全,通过阿里云官网了解到有两种方式可以实现,一是通过API的方式,二是通过SDK的方式,昨天尝试了一下API的方式,没有成功,网上也没查到相关资料,只好转战SDK,接下来说说SDK怎么使用。 首先你需要创建一个RAM子账号:打开阿里云管理控制台,在“产品...
曲博-下一代网络安全测试方法1
08-03
网络安全设备性能评估网络安全设备对攻击的识别和阻断能力评估网络安全设备选型和入网评估在网络部署之前,评估承载和安全能力安全测评体系的支持网络安全竞赛网络安全培训
入网信息安全保障责任书.docx
10-01
入网信息安全保障责任书.docx
安全集成项目常用模板合集.rar
08-07
网络安全集成项目模板合集,包括项目支持反馈表、信息系统资产调研表、安全集成实施报告、会议纪要模板、会议签到模板、实施进度计划甘特图、设备到货签收单模板和设备入网授权书模板。
战术目标瞄准网络技术入网安全认证技术研究
01-29
战术目标瞄准网络技术(TTNT,Tactical Targeting Network Technology)作为美军新一代数据链路建设中的重要一环,为处于Link 16数据链网络的边缘用户提供了及时高速的数据传输支持。首先分析了TTNT的入网和退网流程...
阿里云Python-SDK管理安全和RDS实例IP白名单
GiveMeFive_Y的博客
12-01 2454
安装SDK #pip install aliyun-python-sdk-rds #pip install aliyun-python-sdk-ecs 代码示例: #!/usr/bin/env python # coding=utf-8 from aliyunsdkcore import client from aliyunsdkecs.request.v20140526 import Descr
Golang/Python添加阿里云安全:将本机外网IP添加为IP白名单
运维技术栈
06-18 666
应用场景 每次去阿里云控制台 将自己的外网IP添加为白名单操作过于繁琐,一切可以自动化的事情应该要自动化,所以我们需要一个 自动将本机外网IP添加为安全规则的脚本。 前置条件 拥有可以操作 AuthorizeSecurityGroup API 的 AccessKey 前往 AccessKey 管理 添加 accessKey。 添加一个子账号,创建 AccessKey 给该 AccessKey 授权一个最小的权限:AuthorizeSecurityGroup,只能添加安全的入方向规则。 准备好了
如何使用 Terraform 在亚马逊云科技上创建 ShardingSphere Proxy 高可用集群?
亚马逊云科技专栏
02-07 1321
Terraform[1] 是一个 Hashicorp[2] 开源的基础设施自动化编排工具,使用 IaC 的理念来管理基础设施的变更,并得到了亚马逊云科技,GCP,AZURE 等公有云厂商的支持以及社区提供的各种各样的 provider,已成为「基础设施即代码」领域最流行的实践方式之一,Terraform 有以下优点:📌支持多云部署 Terraform 适用于多云方案,将类似的基础结构部署到阿里云、其他云提供商或者本地数据中心。开发人员能够使用相同的工具和相似的配置文件同时管理不同云提供商的资源。📌。
linux工具箱sh,玩转GPU实例 – 我的Linux 工具箱
weixin_36254822的博客
05-08 204
前言显卡意味着什么?在不同的玩家心目中会有许多不同的答案。对我来说,开始着迷于显卡要从横空出世的Voodoo说起。那时候显卡市场的王者3dfx 推出的一系列产品无论是游戏画质还是高分辨率下的流畅度都是其它产品望尘莫及的,市场的份额曾经高达85%。只是那时候我的认识中显卡只是与游戏、视频输出效果这些场景有关,没有想到后来的所谓GPU居然有了今天的局面。至于后来NVIDIA Force的卧薪尝胆、AT...
aws 认证_AWS ML专业认证备忘单
weixin_26704853的博客
08-19 3136
aws 认证the highly important and carefully crafted piece, * this will only be useful after completing the entire course on Udemy 非常重要且精心制作的作品,*仅在完成有关Udemy的整个课程后才有用 适用于AWS ML专业的Udemy课程 (Udemy Course fo...
ZStack 假日教程:<安全防火墙-Security Group>
weixin_34284188的博客
10-24 211
2019独角兽企业重金招聘Python工程师标准>>> ...
设备入网安全运行的方法有哪些?
03-22
设备入网安全运行的方法包括以下几个方面: 1. 强密码:设备的登录密码应该足够强大,包括大小写字母、数字和特殊字符,并且应该定期更改。 2. 防火墙:设备应该安装防火墙,限制网络流量,防止未经授权的访问。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值