天天看點
傳回

阿裡雲實作内網互通

1、首先第一步應該是送出工單,告知兩台伺服器的外網IP,然後通過工單進行回報。

2、如果地域都是一樣那就好辦很多,比如參考官方的案例:https://help.aliyun.com/document_detail/25475.html?spm=5176.doc25385.2.1.dRRsk9

官方内容如下:

除了提供安全保障,您還可以使用安全組實作:

  • 案例 1:内網互通
  • 案例 2:攔截特定 IP 或 端口
  • 案例 3:隻允許特定 IP 遠端登入到執行個體
  • 案例 4:隻允許執行個體通路外部特定 IP

說明:本文檔介紹的案例僅适用于經典網絡。

安全組有如下限制:

  • 每個使用者最多建立 100 個安全組
  • 每個安全組最多添加 1000 個執行個體
  • 每個執行個體最多加入 5 個安全組
  • 每個安全組最多建立 100 條規則

案例 1:使用安全組實作内網互通

在經典網絡下,您可以使用安全組實作不同 ECS 執行個體間的内網互通。有兩種情況:

  • 場景 1:執行個體屬于同一個地域,同一個賬号
  • 場景 2:執行個體屬于同一個地域,不同賬号

場景 1:同一地域,同一賬号

同一個地域内,同一個賬号下,經典網絡下可以通過安全組規則設定雲伺服器之間内網互通。

同一個安全組下的雲伺服器,預設内網互通。不同的安全組下的雲伺服器,預設内網不通。要實作内網互通,有以下解決辦法:

  • 方案 1:可以把雲伺服器放入到相同的安全組中,就可以滿足内網都互通了。
  • 方案 2:如果雲伺服器不在同一個安全組内,兩個安全組互相内網授權安全組通路類型的安全組規則。在 授權對象 中添加對方的 IP 位址即可。

場景 2:同一地域,不同賬号

同一個地域内,不同賬号下,經典網絡下可以通過安全組規則設定兩台雲伺服器之間内網互通。比如:

  • UserA 的使用者在 華東 1 有一台經典網絡的 ECS 雲伺服器 InstanceA(内網 IP:A.A.A.A),InstanceA 所屬的安全組為 GroupA;
  • UserB 的使用者在 華東 1 有一台經典網絡的 ECS 雲伺服器 InstanceB(内網 IP:B.B.B.B),InstanceB 所屬的安全組為 GroupB。

這種情況下,可以通過安全組配置實作 InstanceA 和 InstanceB 在内網上互通。步驟如下:

  1. UserA 為 GroupA 添加一條這樣的規則:在 内網入方向 授權 B.B.B.B 的 IP 可以通路 GroupA 下的所有 ECS 雲伺服器。
  2. UserB 為 GroupB 添加一條這樣的規則:在 内網入方向 授權 A.A.A.A 的 IP 可以通路 GroupB 下的所有 ECS 雲伺服器。

這樣兩台執行個體就可以互通了。

案例 2:使用安全組屏蔽、攔截、阻斷特定 IP 或端口對 ECS 執行個體的通路

您可以使用安全組屏蔽、攔截、阻止特定 IP 對使用者雲伺服器的通路,或者屏蔽 IP 通路伺服器的特定端口。操作如下:

  1. 登入 雲伺服器管理控制台。
  2. 找到要配置的執行個體。
  3. 打開執行個體的 本執行個體安全組,然後單擊 配置規則。
    阿裡雲實作内網互通
  4. 單擊 公網入方向,然後單擊 添加安全組規則。
    阿裡雲實作内網互通
  5. 授權政策選擇 拒絕,授權對象 輸入需要屏蔽的 IP 位址。單擊 确定。
    阿裡雲實作内網互通
  6. 如果是針對特定端口的限制,比如屏蔽一個特定 IP 通路自己 ECS 執行個體的 22 端口,授權政策 選擇 拒絕,協定類型 選擇 TCP,端口範圍填寫為 22/22,授權對象填寫待屏蔽的 IP 位址和子網路遮罩,格式為 x.x.x.x/xx,例如 10.1.1.1/32。然後單擊 确認。
    阿裡雲實作内網互通

通過配置安全組規則可以設定隻讓特定 IP 遠端登入到執行個體。隻需要在公網入方向配置規則就可以了。

以 Linux 伺服器為例,設定隻讓特定 IP 通路 22 端口。

  1. 添加一條公網入方向安全組規則,允許通路,協定類型選擇 TCP,端口寫 22/22,授權類型為位址段通路,授權對象填寫允許遠端連接配接的 IP 位址段,格式為 x.x.x.x/xx,即 IP位址/子網路遮罩,本例中的位址段為 182.92.253.20/32。優先級為 1。
    阿裡雲實作内網互通
  2. 再添加一條規則,拒絕通路,協定類型選擇 TCP,端口寫 22/22,授權類型為位址段通路,授權對象寫所有 0.0.0.0/0,優先級為 2。
  3. 再添加一條規則,允許通路,協定類型選擇全部,端口全部預設,授權對象寫所有 0.0.0.0/0,優先級為 3。

添加完畢後總共如下三條規則就可以了。設定完之後:

  • 來自 IP 182.92.253.20 通路 22 端口優先執行優先級為 1 的規則允許。
  • 來自其他 IP 通路 22 端口優先執行優先級為 2 的規則拒絕了。
  • 通路其他端口執行優先級為 3 的規則允許。

您可以先配置一條公網出方向規則禁止通路任何 IP(0.0.0.0/0),然後再添加一條公網出方向規則允許執行個體對外通路的IP。允許規則的優先級設定成高于禁止規則的優先級。

    1. 單擊 公網出方向>添加安全組規則,授權政策選擇 拒絕,授權對象 0.0.0.0/0,優先級可設定為比1大的數字。
      阿裡雲實作内網互通
    2. 在公網出方向繼續添加安全組規則,授權政策選擇 允許,授權對象是允許執行個體通路的特定外部 IP。
      阿裡雲實作内網互通
    3. 在執行個體内部進行 ping、telnet 等測試,通路非允許規則中列出的 IP均不通,說明安全組的限制已經生效。
阿裡雲 Windows
上一篇: Linux下建立文本檔案(vi/vim指令使用詳解)
下一篇: 分區還原工具(DiskGenius)

繼續閱讀