本文在介紹關于四種安全的內網實例互通設置方法的基礎上,重點探討了其具體步驟,本文內容很緊湊,希望大家耐心學習。
經典網絡內網實例互通設置方法
安全組是實例級別防火墻,為保障實例安全,設置安全組規則時要遵循“最小授權”原則,下面介紹四種安全的內網實例互通設置方法。
方法 1. 使用單 IP 地址授權
適用場景:適用于小規模實例間內網互通場景。
優點:以IP地址方式授權,安全組規則清晰,容易理解。
缺點:內網互通實例數量較多時,會受到安全組規則條數 100 條的限制,另外后期維護工作量比較大。
設置方法:
選擇需要互通的實例,進入 本實例安全組。
選擇需要配置安全組,單擊 配置規則。
單擊 內網入方向,并單擊 添加安全組規則。
按以下描述添加安全組規則:
授權策略:允許;
協議類型:根據實際需要選擇協議類型;
端口范圍:根據您的實際需要設置端口范圍,格式為“起始端口號/終止端口號”;
授權類型:地址段訪問;
授權對象:輸入想要內網互通的實例的內網 IP 地址,格式必須是 a.b.c.d/32。其中,子網掩碼必須是 /32。
方法 2. 加入同一安全組
適用場景:如果您的應用架構比較簡單,可以為所有的實例選擇相同的安全組,綁定同一安全組的實例之間不用設置特殊規則,默認網絡互通。
優點:安全組規則清晰。
缺點:僅適用于簡單的應用網絡架構,網絡架構調整時授權方法要隨之進行修改。
方法 3. 綁定互通安全組
適用場景:為需要互通的實例增加綁定一個專門用于互通的安全組,適用于多層應用網絡架構場景。
優點:操作簡單,可以迅速建立實例間互通,可應用于復雜網絡架構。
缺點:實例需綁定多個安全組,安全組規則閱讀性較差。
設置方法:
新建一個安全組,命名為“互通安全組”,不需要給新建的安全組添加任何規則。
將需要互通的實例都添加綁定新建的“互通安全組”,利用同一安全組的實例之間默認互通的特性,達到內網實例互通的效果。
方法 4. 安全組互信授權
適用場景:如果您的網絡架構比較復雜,各實例上部署的應用都有不同的業務角色,您就可以選擇使用安全組互相授權方式。
優點:安全組規則結構清晰、閱讀性強、可跨賬戶互通。
缺點:安全組規則配置工作量較大。
設置方法:
選擇需要建立互信的實例,進入 本實例安全組。
選擇需要配置安全組,單擊 配置規則。
單擊 內網入方向,并單擊 添加安全組規則。
按以下描述添加安全組規則:
授權策略:允許;
協議類型:根據您的實際需要選擇協議類型;
端口范圍:根據實際需求設置;
授權類型:安全組訪問。
授權對象:
如果您選擇 本賬號授權:按照您的組網要求,將有內網互通需求的對端實例的安全組 ID 填入 授權對象 即可。
如果您選擇 跨賬號授權:授權對象 應填入對端實例的安全組 ID;賬號 ID 是對端賬號 ID(可以在 賬號管理 > 安全設置 里查到)。
建議
如果前期安全組授權過大,建議采用以下流程收緊授權范圍。
圖中 刪除 0.0.0.0 是指刪除原來的允許 0.0.0.0/0 地址段的安全組規則。
如果安全組規則變更操作不當,可能會導致您的實例間通信受到影響,請在修改設置前備份您要操作的安全組規則,以便出現互通問題時及時恢復。
安全組映射了實例在整個應用架構中的角色,推薦按照應用架構規劃防火墻規則。例如:常見的三層 Web 應用架構就可以規劃三個安全組,將部署了相應應用或數據庫的實例綁定對應的安全組:
Web 層安全組:開放 80 端口;
APP 層安全組:開放 8080 端口;
DB 層安全組:開放 3306 端口。
