文档章节

实现安全组内网络隔离

于溪落霞
 于溪落霞
发布于 2017/08/21 15:40
字数 888
阅读 38
收藏 0

#程序员薪资揭榜#你做程序员几年了?月薪多少?发量还在么?>>>

背景介绍

安全组默认的网络连通策略是:同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。这个策略满足了绝大多数客户的需求,但也有少数客户希望能够改变安全组网络连通策略,同一个安全组内的网络是隔离的而不是互通的,这样可以大大减少安全组的数量进而降低维护和管理安全组的成本。基于这些客户的诉求,我们丰富了安全组网络连通策略,支持安全组内网络隔离。要使用此功能,您需要首先了解安全组内网络隔离的一些细节:

安全组内网络隔离的几点说明

  1. 隔离的粒度是网卡而不是ECS实例 如果ECS实例挂载了多块网卡,这一点需要特别注意。
  2. 不会改变默认的网络连通策略 安全组**默认的**网络连通策略仍然是同一安全组内的实例之间网络**互通**,不同安全组的实例之间默认内网不通。新的功能只是为您提供了一种手段来修改网络连通策略,因此新功能不会对您既有安全组或者对您新建的安全组造成任何影响。
  3. 隔离优先的原则
    • 被设置为组内“隔离”的安全组,优先级要高于“互通”的安全组,所以如果有两个实例属于被设置为“隔离”的安全组,那么这两个实例间网络一定不可达,不管是否它们还同时属于“互通”的安全组。
    • 被设置为组内“隔离”的安全组,优先级要高于用户定义的所有ACL,所以被隔离的安全组,组内实例间网络一定不可达,即使增加允许访问的ACL也不起作用。
  4. 网络隔离只限于当前组内的实例(网卡) 假设当前安全组是G1,组内网络设置为“隔离”,vm1和vm2属于G1,vm2和vm3属于G2,G2的组内网络互通,那么vm1和vm2网络不可达,但vm2和vm3之间网络可达。

为了更好的理解安全组内网络格力的约束和限制,下面以一个典型的例子加以说明(出于便于表达的目的,都假设一个实例只有一块网卡,因此网卡隔离就等价于实例隔离),实例和实例所属的安全组的关系如下图:
_001

安全组内网络连通策略如下:

安全组 内网连通策略 包含的实例
G1 隔离 Vm1,Vm2
G2 互通 Vm1,Vm2
G3 互通 Vm2,Vm3

这个例子中各实例间网络连通情况如下表:

实例间网络 互通/隔离 原因
Vm1-Vm2 隔离 Vm1,Vm2同时属于G1和G2,G1的策略是“隔离”,G2的策略是“互通”,基于“隔离”优先的原则,Vm1到Vm2之间不可通信
Vm2-Vm3 互通 Vm2和Vm3同时属于G3,而且G3的策略是“互通”,所以Vm2和Vm3默认可以通信
Vm1-Vm3 隔离 Vm1和Vm3分属不同的安全组,按照默认的网络连通策略,不同安全组的实例之间默认内网不通

修改安全组内网络连通策略API

关于此功能的API细节,请参考ModifySecurityGroupPolicy

本文转载自: https://yq.aliyun.com/articles/147754?spm=5176.100239.0.0.SrycAF

于溪落霞
粉丝 3
博文 27
码字总数 22851
作品 0
私信 提问
加载中

评论(0)

云计算每日一题(NO.0009)

【多选题】关于VPC的安全隔离,下面说法正确的是: A、 不同用户的云服务器在不同的 VPC 里; B、 不同 VPC 之间通过隧道 ID 进行隔离; C、 不同 VPC 之间内部网络完全隔离,只能通过对外映...

juncdt-z
2018/10/09
0
0
阿里云ACP笔记-VPC专有网络

VPC专有网络: 1、Vlan级别的隔离,彻底阻断不同VPC间的网络通讯; 2、网络地址自定义; 3、专线/VPN接入,实现传统架构平滑迁移。 特点: 1、安全隔离,使用隧道技术达到传统VLAN相同隔离效...

Grodd
2018/04/06
0
0
计算机概念总结5-阿里云的了解-ecs

1、ecs 1.1ecs 云服务器Elastic Compute Service(ECS)是阿里云提供的一种基础云计算服务。使用云服务器ECS就像使用水、电、煤气等资源一样便捷、高效。您无需提前采购硬件设备,而是根据业...

osc_u90juso0
2018/07/19
4
0
基于VPC内的云主机安全隔离技术

1引言 随着业务的持续发展,各行业开始逐渐将业务系统通过云计算平台进行整合,采用部分云化的架构也成为业内主流,云计算已经经历了十多年的发展历程,广电、政府、医疗、教育各行各业也开始...

功夫小熊猫
2019/03/25
0
0
阿里云RDS for MySQL 快速入门——笔记

1初始化配置 1.1设置白名单 创建RDS实例后,需要设置RDS实例的白名单,以允许外部设备访问该RDS实例。默认的白名单只包含默认IP地址127.0.0.1,表示任何设备均无法访问该RDS实例。 设置白名单...

osc_918p5b67
2019/04/19
1
0

没有更多内容

加载失败,请刷新页面

加载更多

kafka重要概念与集群重点配置详解

重要概念 broker 一个broker就是一个kafka实例,负责接收、转发、存储消息,kafka集群就是由多个broker组成。 topic kafka的topic是一个逻辑概念,就是对消息分组、分类,便于区分处理不同业...

trayvon
53分钟前
44
0
在树莓派里搭建 Lighttpd 服务器

Lighttpd 像 Ngnix 一样,是被设计运行在低内存,低 CPU 负载的设备上,它们都非常适合在树莓派上运行。 本文将介绍如何在树莓派上运行基本配置的 Lighttpd ,以及如何与 PHP-FRM 一起使用。...

良许Linux
53分钟前
21
0
Service Mesh 高可用在企业级生产中的实践 | 线上直播回顾

Service Mesh Virtual Meetup 是 ServiceMesher 社区和 CNCF 联合主办的线上系列直播。本期为 Service Mesh Virtual Meetup#1 ,邀请了四位来自不同公司的嘉宾,从不同角度展开了 Service Me...

SOFAStack
今天
37
0
word转pdf软件有哪些?word转pdf软件怎么操作?

虽说日常生活中,很多人写报告写策划都依然会使用word程序,但是严格来说,word却并非是唯一常用的办公软件,就比如说pdf,就越来越受年轻人的欢迎了,那么经常用电脑办公的你是否知道,其实...

开源86
今天
48
0
Java创建对象的过程(类实例化)

1.检查类是否被加载。 当虚拟机遇到new指令后,会先去常量池检查有没有该类的符号引用,并且检查这个类有没有进行加载、解析、初始化过,没有就先执行类加载过程。 2.为对象分配内存空间*。 ...

曦鱼violet
今天
26
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部