經典網絡内網執行個體互通設定方法
安全組是執行個體級别防火牆,為保障執行個體安全,設定安全組規則時要遵循“最小授權”原則,下面介紹四種安全的内網執行個體互通設定方法。
方法 1. 使用單 ip 位址授權
适用場景:适用于小規模執行個體間内網互通場景。
優點:以ip位址方式授權,安全組規則清晰,容易了解。
缺點:内網互通執行個體數量較多時,會受到安全組規則條數 100 條的限制,另外後期維護工作量比較大。
設定方法:
選擇需要互通的執行個體,進入 本執行個體安全組。
選擇需要配置安全組,單擊 配置規則。
單擊 内網入方向,并單擊 添加安全組規則。
按以下描述添加安全組規則:
授權政策:允許;
協定類型:根據實際需要選擇協定類型;
端口範圍:根據您的實際需要設定端口範圍,格式為“起始端口号/終止端口号”;
授權類型:位址段通路;
授權對象:輸入想要内網互通的執行個體的内網 ip 位址,格式必須是 a.b.c.d/32。其中,子網路遮罩必須是 /32。
方法 2. 加入同一安全組
适用場景:如果您的應用架構比較簡單,可以為所有的執行個體選擇相同的安全組,綁定同一安全組的執行個體之間不用設定特殊規則,預設網絡互通。
優點:安全組規則清晰。
缺點:僅适用于簡單的應用網絡架構,網絡架構調整時授權方法要随之進行修改。
方法 3. 綁定互通安全組
适用場景:為需要互通的執行個體增加綁定一個專門用于互通的安全組,适用于多層應用網絡架構場景。
優點:操作簡單,可以迅速建立執行個體間互通,可應用于複雜網絡架構。
缺點:執行個體需綁定多個安全組,安全組規則閱讀性較差。
建立一個安全組,命名為“互通安全組”,不需要給建立的安全組添加任何規則。
将需要互通的執行個體都添加綁定建立的“互通安全組”,利用同一安全組的執行個體之間預設互通的特性,達到内網執行個體互通的效果。
方法 4. 安全組互信授權
适用場景:如果您的網絡架構比較複雜,各執行個體上部署的應用都有不同的業務角色,您就可以選擇使用安全組互相授權方式。
優點:安全組規則結構清晰、閱讀性強、可跨賬戶互通。
缺點:安全組規則配置工作量較大。
選擇需要建立互信的執行個體,進入 本執行個體安全組。
協定類型:根據您的實際需要選擇協定類型;
端口範圍:根據實際需求設定;
授權類型:安全組通路。
授權對象:
如果您選擇 本賬号授權:按照您的組網要求,将有内網互通需求的對端執行個體的安全組 id 填入 授權對象 即可。
如果您選擇 跨賬号授權:授權對象 應填入對端執行個體的安全組 id;賬号 id 是對端賬号 id(可以在 賬号管理 > 安全設定 裡查到)。
建議
如果前期安全組授權過大,建議采用以下流程收緊授權範圍。
圖中 删除 0.0.0.0 是指删除原來的允許 0.0.0.0/0 位址段的安全組規則。
如果安全組規則變更操作不當,可能會導緻您的執行個體間通信受到影響,請在修改設定前備份您要操作的安全組規則,以便出現互通問題時及時恢複。
安全組映射了執行個體在整個應用架構中的角色,推薦按照應用架構規劃防火牆規則。例如:常見的三層 web 應用架構就可以規劃三個安全組,将部署了相應應用或資料庫的執行個體綁定對應的安全組:
web 層安全組:開放 80 端口;
app 層安全組:開放 8080 端口;
db 層安全組:開放 3306 端口。
<a href="https://help.aliyun.com/knowledge_detail/51076.html?spm=5176.doc51849.6.742.bxb7zl">原文連結</a>