文档章节

实现安全组内网络隔离

于溪落霞
 于溪落霞
发布于 2017/08/21 15:40
字数 888
阅读 10
收藏 0

背景介绍

安全组默认的网络连通策略是:同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。这个策略满足了绝大多数客户的需求,但也有少数客户希望能够改变安全组网络连通策略,同一个安全组内的网络是隔离的而不是互通的,这样可以大大减少安全组的数量进而降低维护和管理安全组的成本。基于这些客户的诉求,我们丰富了安全组网络连通策略,支持安全组内网络隔离。要使用此功能,您需要首先了解安全组内网络隔离的一些细节:

安全组内网络隔离的几点说明

  1. 隔离的粒度是网卡而不是ECS实例 如果ECS实例挂载了多块网卡,这一点需要特别注意。
  2. 不会改变默认的网络连通策略 安全组**默认的**网络连通策略仍然是同一安全组内的实例之间网络**互通**,不同安全组的实例之间默认内网不通。新的功能只是为您提供了一种手段来修改网络连通策略,因此新功能不会对您既有安全组或者对您新建的安全组造成任何影响。
  3. 隔离优先的原则
    • 被设置为组内“隔离”的安全组,优先级要高于“互通”的安全组,所以如果有两个实例属于被设置为“隔离”的安全组,那么这两个实例间网络一定不可达,不管是否它们还同时属于“互通”的安全组。
    • 被设置为组内“隔离”的安全组,优先级要高于用户定义的所有ACL,所以被隔离的安全组,组内实例间网络一定不可达,即使增加允许访问的ACL也不起作用。
  4. 网络隔离只限于当前组内的实例(网卡) 假设当前安全组是G1,组内网络设置为“隔离”,vm1和vm2属于G1,vm2和vm3属于G2,G2的组内网络互通,那么vm1和vm2网络不可达,但vm2和vm3之间网络可达。

为了更好的理解安全组内网络格力的约束和限制,下面以一个典型的例子加以说明(出于便于表达的目的,都假设一个实例只有一块网卡,因此网卡隔离就等价于实例隔离),实例和实例所属的安全组的关系如下图:
_001

安全组内网络连通策略如下:

安全组 内网连通策略 包含的实例
G1 隔离 Vm1,Vm2
G2 互通 Vm1,Vm2
G3 互通 Vm2,Vm3

这个例子中各实例间网络连通情况如下表:

实例间网络 互通/隔离 原因
Vm1-Vm2 隔离 Vm1,Vm2同时属于G1和G2,G1的策略是“隔离”,G2的策略是“互通”,基于“隔离”优先的原则,Vm1到Vm2之间不可通信
Vm2-Vm3 互通 Vm2和Vm3同时属于G3,而且G3的策略是“互通”,所以Vm2和Vm3默认可以通信
Vm1-Vm3 隔离 Vm1和Vm3分属不同的安全组,按照默认的网络连通策略,不同安全组的实例之间默认内网不通

修改安全组内网络连通策略API

关于此功能的API细节,请参考ModifySecurityGroupPolicy

本文转载自: https://yq.aliyun.com/articles/147754?spm=5176.100239.0.0.SrycAF

共有 人打赏支持
于溪落霞
粉丝 3
博文 27
码字总数 22851
作品 0
私信 提问
云计算每日一题(NO.0009)

【多选题】关于VPC的安全隔离,下面说法正确的是: A、 不同用户的云服务器在不同的 VPC 里; B、 不同 VPC 之间通过隧道 ID 进行隔离; C、 不同 VPC 之间内部网络完全隔离,只能通过对外映...

juncdt-z
10/09
0
0
阿里云ACP笔记-VPC专有网络

VPC专有网络: 1、Vlan级别的隔离,彻底阻断不同VPC间的网络通讯; 2、网络地址自定义; 3、专线/VPN接入,实现传统架构平滑迁移。 特点: 1、安全隔离,使用隧道技术达到传统VLAN相同隔离效...

Grodd
04/06
0
0
腾讯云-------------地域和可用区

前言: 云服务器是基于物理服务器虚拟化来实现的产物,物理服务器可以分布在全球的多个地方,这些不同的地方都是由地域(region)和可用去(zone)构成。 并且每个地域(region)是一个独立的...

Yfblog
2017/12/16
0
0
深入了解CloudStack中的网络设计

网络的设计规划是CloudStack的一个亮点,也是CloudStack被广泛商业应用的一个主要原因.本篇深入讨论一下CloudStack中网络的设计方式. CloudStack中根据不同的数据流量类型设计了管理,公共...

ivan_wang
2014/05/06
0
0
中小企业组网方案分享

1、ADSL+代理服务器(软路由) 这种模式在前几年比较流行,小型单位、网吧用的比较多。 ADSL+代理服务器(软路由),需要一台服务器做代理。 1、Windows自带的internet共享 2、第三方代理服务...

周志超
2014/09/04
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Alibaba Java诊断利器Arthas实践--使用redefine排查应用奇怪的日志来源

背景 随着应用越来越复杂,依赖越来越多,日志系统越来越混乱,有时会出现一些奇怪的日志,比如: [] [] [] No credential found 那么怎样排查这些奇怪的日志从哪里打印出来的呢?因为搞不清...

hengyunabc
今天
1
0
home hosts

home hosts lwk@qwfys:~$ cat /etc/hosts127.0.0.1 localhost127.0.1.1 qwfys192.168.56.101vm600.qwfys.com39.108.212.91alpha1.ppy.com39.108.117.122alpha2.p......

qwfys
今天
1
0
大数据教程(6.1)hadoop生态圈介绍及就业前景

1. HADOOP背景介绍 1.1、什么是HADOOP 1.HADOOP是apache旗下的一套开源软件平台 2.HADOOP提供的功能:利用服务器集群,根据用户的自定义业务逻辑,对海量数据进行分布式处理 3.HADOOP的核心组...

em_aaron
今天
4
0
hadoop垃圾回收站

在生产生,hdfs回收站必须是开启的,一般设置为7天。 fs.trash.interval 为垃圾回收站保留时间,如果为0则禁用回收站功能。 fs.trash.checkpoint.interval 回收站检查点时间,一般设置为小于...

hnairdb
昨天
3
0
腾讯与Github的魔幻会面背后的故事…

10月22日,腾讯开源管理办公室有幸邀请到Github新晋CEO Nat Friedman,前来鹅厂参观交流。目前腾讯已经有近70个项目在Github上开源,共获得17w stars,世界排名11位。Github是腾讯开源的主阵...

腾讯开源
昨天
19
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部