相信接觸過安全組的同學肯定都知道0.0.0.0/0,這個特殊的位址段代表了所有IPV4位址,當您不能确認目标或來源位址時一般就用它來代替,例如,公網提供HTTP服務的應用就會利用0.0.0.0/0作為公網安全組入規則的來源位址。
雖然0.0.0.0/0使用非常友善,但是發現很多同學使用它來做内網互通,這是有安全風險的,執行個體有可能會在經典網絡被内網IP通路到。下面介紹一下四種安全的内網互聯設定方法。
<b></b>
<b>内網安全組互通設定方法:</b>
1. 使用IP位址授權
如果内網互聯的執行個體數量較少,建議使用IP位址授權方式。
設定方法:在安全組清單控制台,選擇想要互通的執行個體的安全組,點選“添加安全組規則”,“授權類型”選擇“位址段通路”,在“授權對象”中填入想要互通的執行個體的内網IP位址, 格式例如:a.b.c.d/32。
優點:安全組規則清晰,好了解。
缺點:有可能受到安全組規則條數100條的限制,執行個體數目發生變化時維護工作量較大。
2. 加入同一安全組
如果您的網絡架構比較簡單,執行個體中部署的業務相同,您就可以為所有的執行個體選擇相同的安全組,綁定同一安全組的執行個體之間不用設定特殊規則、預設是網絡互通的。
優點:安全組規則清晰。
缺點:适用于單一的應用架構,網絡架構變更時需要做調整。
3. 綁定互通安全組
為需要互通的執行個體新添加綁定一個專門互通用的安全組,适用于較為複雜的網絡架構。
設定方法:建立一個安全組,命名為“互通安全組”,不用給建立的安全組添加任何規則。将需要互通的執行個體都添加綁定建立的“互通安全組”,利用同一安全組的執行個體之間預設互通的特性,達到内網執行個體互通的效果。
優點:操作簡單,适用于複雜網絡架構。
缺點:安全組規則閱讀性較差。
4. 安全組互信授權
如果您的網絡架構比較複雜,各執行個體上部署的應用都有不同的業務角色,您就可以選擇使用安全組互相授權方式。
設定方法:在安全組清單控制台,分别選擇想要建立互信的執行個體的安全組,點選“添加安全組規則”,授權類型選擇“安全組通路”
在添加經典網絡安全組内網入方向規則時,選擇“授權政策”為“允許”, “授權類型”為“安全組通路”。您将會看到右側的兩個選擇:“本賬号授權”,“跨賬号授權”,按照您的組網要求,将有互聯需求的對端執行個體的安全組ID填入下方的授權對象中,這樣就建立了安全組互信,建立安全組互信後的執行個體間通信就沒有阻礙了。
優點:安全組規則結構清晰、閱讀性強、可跨賬戶互通
缺點:操作稍複雜
<b>适用範圍:</b>
使用IP位址授權:适用于小規模執行個體間内網互通場景
加入同一安全組:适用于所有執行個體同屬于單一應用架構場景
綁定互通安全組:快速達到内網互通效果,适用于多層應用網絡架構場景
安全組互信授權:規則結構清晰,閱讀性強,适合多層應用網絡架構場景
推薦的<b>0.0.0.0/0</b>替換流程
如果安全組規則變更操作不當,可能會導緻您的執行個體間通信受到影響,請在修改設定前備份您要操作的安全組規則,以便出現互通問題時及時恢複。
另外,安全組是執行個體級别防火牆,它映射了所綁定的執行個體在整個應用網絡架構中的業務角色,是以推薦大家按照自己的應用網絡架構規劃防火牆。例如:常見的三層WEB應用架構就可以規劃為三個安全組:1. WEB 層安全組 (開放80端口)2. APP 層安全組(開放8080端口) 3 DB層安全組 (開放3306端口)。