文档章节

实现安全组内网络隔离

全部原谅
 全部原谅
发布于 2017/08/21 15:23
字数 981
阅读 3
收藏 0
点赞 0
评论 0

摘要: 安全组默认的网络连通策略是:同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。但个别用户期望同一个安全组内的网络是隔离的而不是互通的。本文向您介绍如何修改安全组内网络连通策略。

背景介绍

安全组默认的网络连通策略是:同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。这个策略满足了绝大多数客户的需求,但也有少数客户希望能够改变安全组网络连通策略,同一个安全组内的网络是隔离的而不是互通的,这样可以大大减少安全组的数量进而降低维护和管理安全组的成本。基于这些客户的诉求,我们丰富了安全组网络连通策略,支持安全组内网络隔离。要使用此功能,您需要首先了解安全组内网络隔离的一些细节:

安全组内网络隔离的几点说明

  1. 隔离的粒度是网卡而不是ECS实例 如果ECS实例挂载了多块网卡,这一点需要特别注意。
  2. 不会改变默认的网络连通策略 安全组**默认的**网络连通策略仍然是同一安全组内的实例之间网络**互通**,不同安全组的实例之间默认内网不通。新的功能只是为您提供了一种手段来修改网络连通策略,因此新功能不会对您既有安全组或者对您新建的安全组造成任何影响。
  3. 隔离优先的原则
    • 被设置为组内“隔离”的安全组,优先级要高于“互通”的安全组,所以如果有两个实例属于被设置为“隔离”的安全组,那么这两个实例间网络一定不可达,不管是否它们还同时属于“互通”的安全组。
    • 被设置为组内“隔离”的安全组,优先级要高于用户定义的所有ACL,所以被隔离的安全组,组内实例间网络一定不可达,即使增加允许访问的ACL也不起作用。
  4. 网络隔离只限于当前组内的实例(网卡) 假设当前安全组是G1,组内网络设置为“隔离”,vm1和vm2属于G1,vm2和vm3属于G2,G2的组内网络互通,那么vm1和vm2网络不可达,但vm2和vm3之间网络可达。

为了更好的理解安全组内网络格力的约束和限制,下面以一个典型的例子加以说明(出于便于表达的目的,都假设一个实例只有一块网卡,因此网卡隔离就等价于实例隔离),实例和实例所属的安全组的关系如下图:
_001

安全组内网络连通策略如下:

安全组 内网连通策略 包含的实例
G1 隔离 Vm1,Vm2
G2 互通 Vm1,Vm2
G3 互通 Vm2,Vm3

这个例子中各实例间网络连通情况如下表:

实例间网络 互通/隔离 原因
Vm1-Vm2 隔离 Vm1,Vm2同时属于G1和G2,G1的策略是“隔离”,G2的策略是“互通”,基于“隔离”优先的原则,Vm1到Vm2之间不可通信
Vm2-Vm3 互通 Vm2和Vm3同时属于G3,而且G3的策略是“互通”,所以Vm2和Vm3默认可以通信
Vm1-Vm3 隔离 Vm1和Vm3分属不同的安全组,按照默认的网络连通策略,不同安全组的实例之间默认内网不通

修改安全组内网络连通策略API

关于此功能的API细节,请参考ModifySecurityGroupPolicy

本文转载自:https://yq.aliyun.com/articles/147754?spm=5176.100239.0.0.SrycAF

共有 人打赏支持
全部原谅
粉丝 1
博文 42
码字总数 1041
作品 0
邯郸
阿里云ACP笔记-VPC专有网络

VPC专有网络: 1、Vlan级别的隔离,彻底阻断不同VPC间的网络通讯; 2、网络地址自定义; 3、专线/VPN接入,实现传统架构平滑迁移。 特点: 1、安全隔离,使用隧道技术达到传统VLAN相同隔离效...

Grodd ⋅ 04/06 ⋅ 0

腾讯云-------------地域和可用区

前言: 云服务器是基于物理服务器虚拟化来实现的产物,物理服务器可以分布在全球的多个地方,这些不同的地方都是由地域(region)和可用去(zone)构成。 并且每个地域(region)是一个独立的...

Yfblog ⋅ 2017/12/16 ⋅ 0

深入了解CloudStack中的网络设计

网络的设计规划是CloudStack的一个亮点,也是CloudStack被广泛商业应用的一个主要原因.本篇深入讨论一下CloudStack中网络的设计方式. CloudStack中根据不同的数据流量类型设计了管理,公共...

ivan_wang ⋅ 2014/05/06 ⋅ 0

容器SDN技术与微服务架构实践

Docker的横空出世很大程度上推动了容器技术的热度和发展。容器技术和传统的虚拟化技术有很大的不同,具体包括:首先是相对于传统的虚拟机,以前一个虚拟机里做的事情,要打散成很多个容器去做...

openthings ⋅ 2016/11/03 ⋅ 0

容器SDN技术与微服务架构实践

Docker的横空出世很大程度上推动了容器技术的热度和发展。容器技术和传统的虚拟化技术有很大的不同,具体包括:首先是相对于传统的虚拟机,以前一个虚拟机里做的事情,要打散成很多个容器去做...

壬癸甲乙 ⋅ 2016/06/20 ⋅ 0

中小企业组网方案分享

1、ADSL+代理服务器(软路由) 这种模式在前几年比较流行,小型单位、网吧用的比较多。 ADSL+代理服务器(软路由),需要一台服务器做代理。 1、Windows自带的internet共享 2、第三方代理服务...

周志超 ⋅ 2014/09/04 ⋅ 0

利用虚拟化实现应用发布与网络隔离

目前很多单位在网络建设之初就在规划和考虑更多的安全问题,非常通行的安全措施就是对网络实现隔离,所谓网络的隔离就是“拿出去”的概念,要么把企业内网拿出去,要么把企业互联网拿出去。物...

wbf961127 ⋅ 2017/11/14 ⋅ 0

乾颐堂安德最新HCNP真题讲解含2017年最新变题后题库,75到90题

解题、码字、查阅资料、视频讲解费了我很大力气,我能共享出来已经很好了哦,这里有答案,更有逐题分析,这就是所谓的“知其然,更知其所以然”。欢迎大家来乾颐堂找军哥,学NP,考IE,HCNP其...

EnderJoe ⋅ 2017/12/27 ⋅ 0

蔷薇灵动自适应微隔离发布,软件定义安全正在颠覆防火墙

-------- 作者:刘学习 数字经济发展的重要指标是云化程度。通过计算“云用量”,可以衡量数字经济发展的程度。去年马化腾提出了这一观点,而在今年,衡量数字经济发展指标“用云量”的定义和...

z1y492vn3zyd9et3b06 ⋅ 05/30 ⋅ 0

Cloudstack 安全组分析(1)

面向Cloudstack4.2 Security Group XenServer 6.x ,对于KVM原理一样,需要和Agent通信,调用security_group.py。 安全组介绍 安全组是AWS里的一种技术,用于隔离多租户虚拟机,Cloudstack也支...

刘少 ⋅ 2013/09/17 ⋅ 2

没有更多内容

加载失败,请刷新页面

加载更多

下一页

用ZBLOG2.3博客写读书笔记网站能创造今日头条的辉煌吗?

最近两年,著名的自媒体网站今日头条可以说是火得一塌糊涂,虽然从目前来看也遇到了一点瓶颈,毕竟发展到了一定的规模,继续增长就更加难了,但如今的今日头条规模和流量已经非常大了。 我们...

原创小博客 ⋅ 今天 ⋅ 0

MyBatis四大核心概念

本文讲解 MyBatis 四大核心概念(SqlSessionFactoryBuilder、SqlSessionFactory、SqlSession、Mapper)。 MyBatis 作为互联网数据库映射工具界的“上古神器”,训有四大“神兽”,谓之:Sql...

waylau ⋅ 今天 ⋅ 0

以太坊java开发包web3j简介

web3j(org.web3j)是Java版本的以太坊JSON RPC接口协议封装实现,如果需要将你的Java应用或安卓应用接入以太坊,或者希望用java开发一个钱包应用,那么用web3j就对了。 web3j的功能相当完整...

汇智网教程 ⋅ 今天 ⋅ 0

2个线程交替打印100以内的数字

重点提示: 线程的本质上只是一个壳子,真正的逻辑其实在“竞态条件”中。 举个例子,比如本题中的打印,那么在竞态条件中,我只需要一个方法即可; 假如我的需求是2个线程,一个+1,一个-1,...

Germmy ⋅ 今天 ⋅ 0

Springboot2 之 Spring Data Redis 实现消息队列——发布/订阅模式

一般来说,消息队列有两种场景,一种是发布者订阅者模式,一种是生产者消费者模式,这里利用redis消息“发布/订阅”来简单实现订阅者模式。 实现之前先过过 redis 发布订阅的一些基础概念和操...

Simonton ⋅ 今天 ⋅ 0

error:Could not find gradle

一.更新Android Studio后打开Project,报如下错误: Error: Could not find com.android.tools.build:gradle:2.2.1. Searched in the following locations: file:/D:/software/android/andro......

Yao--靠自己 ⋅ 昨天 ⋅ 0

Spring boot 项目打包及引入本地jar包

Spring Boot 项目打包以及引入本地Jar包 [TOC] 上篇文章提到 Maven 项目添加本地jar包的三种方式 ,本篇文章记录下在实际项目中的应用。 spring boot 打包方式 我们知道,传统应用可以将程序...

Os_yxguang ⋅ 昨天 ⋅ 0

常见数据结构(二)-树(二叉树,红黑树,B树)

本文介绍数据结构中几种常见的树:二分查找树,2-3树,红黑树,B树 写在前面 本文所有图片均截图自coursera上普林斯顿的课程《Algorithms, Part I》中的Slides 相关命题的证明可参考《算法(第...

浮躁的码农 ⋅ 昨天 ⋅ 0

android -------- 混淆打包报错 (warning - InnerClass ...)

最近做Android混淆打包遇到一些问题,Android Sdutio 3.1 版本打包的 错误如下: Android studio warning - InnerClass annotations are missing corresponding EnclosingMember annotation......

切切歆语 ⋅ 昨天 ⋅ 0

eclipse酷炫大法之设置主题、皮肤

eclipse酷炫大法 目前两款不错的eclipse 1.系统设置 Window->Preferences->General->Appearance 2.Eclipse Marketplace下载【推荐】 Help->Eclipse Marketplace->搜索‘theme’进行安装 比如......

anlve ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部