Der Inhalt dieses Artikels befasst sich mit der Autorisierung, dem Widerruf von Sicherheitsgruppenregeln und dem Beitritt zu und dem Verlassen von Sicherheitsgruppen. Ich hoffe, dass er für Sie hilfreich ist.
In diesem Artikel werden die folgenden Inhalte von Sicherheitsgruppen vorgestellt:
Autorisierung und Widerruf von Sicherheitsgruppenregeln.
Sicherheitsgruppe beitreten und Sicherheitsgruppe verlassen.
Die Netzwerktypen von Alibaba Cloud sind in klassische Netzwerke und VPCs unterteilt, die unterschiedliche Einstellungsregeln für Sicherheitsgruppen unterstützen:
Wenn es sich um ein klassisches Netzwerk handelt, können Sie die folgenden Regeln festlegen: Intranet-Zugriffsrichtung , ausgehende Intranet-Richtung, eingehende öffentliche Netzwerkrichtung und ausgehende öffentliche Netzwerk-Richtung.
Wenn es sich um ein VPC-Netzwerk handelt, können Sie Folgendes festlegen: eingehende Richtung und ausgehende Richtung.
Das Konzept der Intranetkommunikation von Sicherheitsgruppen
Bevor Sie mit diesem Artikel beginnen, sollten Sie die folgenden Konzepte der Intranetkommunikation von Sicherheitsgruppen kennen:
Standardmäßig können nur ECS-Instanzen in derselben Sicherheitsgruppe miteinander kommunizieren. Selbst wenn die ECS-Instanzen unter demselben Konto zu unterschiedlichen Sicherheitsgruppen gehören, ist das Intranet-Netzwerk nicht zugänglich. Dies gilt sowohl für klassische als auch für VPC-Netzwerke. Daher sind auch die ECS-Instanzen des klassischen Netzwerks Intranet-sicher.
Wenn Sie zwei ECS-Instanzen haben, die sich nicht in derselben Sicherheitsgruppe befinden, und Sie hoffen, dass sie im Intranet nicht miteinander kommunizieren können, dies aber tatsächlich der Fall ist, müssen Sie die Intranet-Regeleinstellungen von überprüfen Ihre Sicherheitsgruppe. Wenn die folgenden Protokolle im Intranetprotokoll vorhanden sind, wird empfohlen, sie zurückzusetzen.
Alle Ports zulassen
Das Autorisierungsobjekt ist das CIDR-Netzwerksegment (SourceCidrIp): 0.0.0.0/0 oder 10.0.0.0/8.
Wenn es sich um ein klassisches Netzwerk handelt, führt das oben genannte Protokoll dazu, dass Ihr Intranet anderen Zugriffen ausgesetzt wird.
Wenn Sie Netzwerkinteroperabilität zwischen Ressourcen in verschiedenen Sicherheitsgruppen erreichen möchten, sollten Sie die Sicherheitsgruppenautorisierung verwenden. Für den Intranetzugriff sollten Sie die Quellsicherheitsgruppenautorisierung anstelle der CIDR-Segmentautorisierung verwenden.
Attribute von Sicherheitsregeln
Sicherheitsregeln beschreiben hauptsächlich unterschiedliche Zugriffsrechte, einschließlich der folgenden Attribute:
Richtlinie: Autorisierung Richtlinie, Parameterwert kann akzeptieren (Accept) oder Drop (Reject) sein.
Priorität: Priorität, Übereinstimmungen in absteigender Reihenfolge sortieren, basierend auf der Erstellungszeit der Sicherheitsgruppenregeln. Der optionale Bereich der Regelpriorität liegt zwischen 1 und 100. Der Standardwert ist 1, was der höchsten Priorität entspricht. Je höher die Zahl, desto niedriger die Priorität.
NicType: Netzwerktyp. Wenn nur SourceGroupId ohne SourceCidrIp angegeben wird, bedeutet dies, dass die Autorisierung über die Sicherheitsgruppe erfolgt. In diesem Fall muss NicType als Intranet angegeben werden.
Regelbeschreibung:
IpProtocol: IP-Protokoll, Werte: tcp |. Alle bedeutet alle Protokolle.
PortRange: Portnummernbereich im Zusammenhang mit dem IP-Protokoll:
Wenn der IpProtocol-Wert tcp oder udp ist, liegt der Portnummernbereich zwischen 1 und 65535 und das Format muss „Startportnummer“ sein / „Abschlussportnummer“, z. B. „1/200“, bedeutet, dass der Portnummernbereich zwischen 1 und 200 liegt. Wenn der Eingabewert „200/1“ ist, meldet der Schnittstellenaufruf einen Fehler.
Wenn der IpProtocol-Wert icmp, gre oder all ist, beträgt der Portnummernbereichswert -1/-1, was bedeutet, dass es keine Portbeschränkung gibt.
Bei der Autorisierung über eine Sicherheitsgruppe sollte die SourceGroupId angegeben werden, bei der es sich um die ID der Quellsicherheitsgruppe handelt. Zu diesem Zeitpunkt können Sie je nachdem, ob eine kontenübergreifende Autorisierung erfolgen soll, das Konto SourceGroupOwnerAccount festlegen, zu dem die Quellsicherheitsgruppe gehört.
Bei Autorisierung über CIDR sollten Sie SourceCidrIp, also die Quell-IP, angeben Adresssegment, das das CIDR-Format verwenden muss.
Autorisieren Sie eine Netzwerkzugriffsanforderungsregel
Beim Erstellen einer Sicherheitsgruppe in der Konsole oder über die API ist die Netzwerkzugriffsrichtung standardmäßig auf „Alle verweigern“ eingestellt Dies ist die Standardsituation. Als Nächstes lehnen Sie alle Netzwerkzugriffsanfragen ab. Da dies nicht in jeder Situation der Fall ist, sollten Sie Ihre Zugriffsregeln entsprechend konfigurieren.
Wenn Sie beispielsweise Port 80 des öffentlichen Netzwerks öffnen müssen, um der Außenwelt HTTP-Dienste bereitzustellen, möchten Sie, da es sich um einen öffentlichen Netzwerkzugriff handelt, so viel wie möglich auf das Netzwerk zugreifen, also dort Für das IP-Netzwerksegment sollten keine Einschränkungen gelten. Die spezifischen Einstellungen finden Sie in der folgenden Beschreibung gleich sind, wird kein Unterschied gemacht.
Netzwerkkartentyp (NicType): öffentliches Netzwerk (Internet). Wenn es sich um einen VPC-Typ handelt, müssen Sie nur das Intranet ausfüllen und über EIP auf das öffentliche Netzwerk zugreifen.
Autorisierungsrichtlinie: Akzeptieren.
Regelrichtung (NicType): ins Netzwerk.
Protokolltyp (IpProtocol): TCP (tcp).
Portbereich: 80/80.
Autorisierungsobjekt (SourceCidrIp): 0.0.0.0/0.
Priorität: 1.
Hinweis: Die oben genannten Vorschläge gelten nur für öffentliche Netzwerke. Es wird nicht empfohlen, CIDR-Netzwerksegmente für Intranet-Anfragen zu verwenden. Bitte beachten Sie die Intranet-Sicherheitsgruppenregeln klassischer Netzwerke. Verwenden Sie weder CIDR noch IP-Autorisierung.
Regel für eingehende Anfragen sperren
Beim Sperren einer Regel müssen Sie nur eine Ablehnungsrichtlinie konfigurieren und eine niedrigere Priorität festlegen. Auf diese Weise können Sie andere Regeln mit hoher Priorität konfigurieren, um diese Regel bei Bedarf außer Kraft zu setzen. Mit den folgenden Einstellungen können Sie beispielsweise den Zugriff auf Port 6379 verweigern.
Netzwerkkartentyp (NicType): Intranet.
Autorisierungsrichtlinie: Verweigern (löschen).
Regelrichtung (NicType): ins Netzwerk.
Protokolltyp (IpProtocol): TCP (tcp).
Portbereich: 6379/6379.
Autorisierungsobjekt (SourceCidrIp): 0.0.0.0/0.
Priorität: 100.
Verwenden Sie keine CIDR- oder IP-Autorisierung für Intranet-Sicherheitsgruppenregeln des klassischen Netzwerks
Für ECS-Instanzen des klassischen Netzwerks Alibaba Cloud aktiviert es standardmäßig nicht für Zugriffsregeln für Intranets. Bei der Autorisierung des Intranets müssen Sie vorsichtig sein.
Aus Sicherheitsgründen wird nicht empfohlen, eine Autorisierung basierend auf CIDR-Netzwerksegmenten zu aktivieren.
Für Elastic Computing ändert sich die IP des Intranets häufig. Darüber hinaus ist das Netzwerksegment dieser IP unregelmäßig. Daher wird empfohlen, den Zugriff auf das Intranet zu autorisieren durch die Sicherheitsgruppe.
Sie erstellen beispielsweise einen Redis-Cluster auf der Sicherheitsgruppe sg-redis. Um nur bestimmten Maschinen (z. B. sg-web) den Zugriff auf diese Redis-Servergruppe zu ermöglichen, müssen Sie keine konfigurieren CIDR. Sie müssen eine Eingaberegel hinzufügen: Geben Sie einfach die entsprechende Sicherheitsgruppen-ID an.
Netzwerkkartentyp (NicType): Intranet.
Autorisierungsrichtlinie: Akzeptieren.
Regelrichtung (NicType): ins Netzwerk.
Protokolltyp (IpProtocol): TCP (tcp).
Portbereich: 6379/6379.
Autorisierungsobjekt (SourceGroupId): sg-web.
Priorität: 1.
Wenn Sie für Instanzen vom Typ VPC Ihren eigenen IP-Bereich über mehrere VSwitches geplant haben, können Sie CIDR-Einstellungen als Sicherheitsgruppierungsregeln verwenden. Wenn Ihr VPC-Netzwerksegment jedoch nicht klar genug ist, wird dies empfohlen Priorisieren Sie die Verwendung von Sicherheitsgruppen als Zugangsregeln.
Fügen Sie die ECS-Instanzen, die miteinander kommunizieren müssen, derselben Sicherheitsgruppe hinzu.
Eine ECS-Instanz kann bis zu 5 Sicherheitsgruppen beitreten und die ECS-Instanzen derselben Sicherheitsgruppe in der Gruppe sind über das Netzwerk miteinander verbunden. Wenn Sie bei der Planung bereits über mehrere Sicherheitsgruppen verfügen und es zu kompliziert ist, mehrere Sicherheitsregeln direkt festzulegen, können Sie eine neue Sicherheitsgruppe erstellen und dann die ECS-Instanzen, die eine Intranetkommunikation erfordern, zu dieser neuen Sicherheitsgruppe hinzufügen.
Sicherheitsgruppen unterscheiden Netzwerktypen. Eine ECS-Instanz des klassischen Netzwerktyps kann nur der Sicherheitsgruppe des klassischen Netzwerks beitreten. Eine ECS-Instanz vom Typ VPC kann nur der Sicherheitsgruppe dieser VPC beitreten.
Es wird nicht empfohlen, alle ECS-Instanzen einer Sicherheitsgruppe hinzuzufügen, da dies Ihre Sicherheitsgruppenregeleinstellungen zu einem Albtraum machen würde. Für eine mittlere bis große Anwendung hat jede Servergruppe unterschiedliche Rollen. Es ist sehr wichtig, die eingehenden und ausgehenden Anforderungen jedes Servers angemessen zu planen.
Auf der Konsole können Sie eine Instanz zu einer Sicherheitsgruppe hinzufügen, wie im Dokument „Sicherheitsgruppe beitreten“ beschrieben.
Wenn Sie mit der OpenAPI von Alibaba Cloud sehr vertraut sind, können Sie sich auf „Verwenden von OpenAPI zum elastischen Verwalten von ECS-Instanzen und Durchführen von Stapelvorgängen über OpenAPI“ beziehen. Das entsprechende Python-Snippet lautet wie folgt.
def join_sg(sg_id, instance_id): request = JoinSecurityGroupRequest() request.set_InstanceId(instance_id) request.set_SecurityGroupId(sg_id) response = _send_request(request) return response # send open api request def _send_request(request): request.set_accept_format('json') try: response_str = clt.do_action(request) logging.info(response_str) response_detail = json.loads(response_str) return response_detail except Exception as e: logging.error(e)
Entfernen Sie die ECS-Instanz aus der Sicherheitsgruppe
Wenn die ECS-Instanz einer ungeeigneten Sicherheitsgruppe hinzugefügt wird, wird Ihr Dienst offengelegt oder blockiert ist, können Sie die ECS-Instanz aus dieser Sicherheitsgruppe entfernen. Bevor Sie die Sicherheitsgruppe entfernen, müssen Sie jedoch sicherstellen, dass Ihre ECS-Instanz anderen Sicherheitsgruppen beigetreten ist.
Hinweis: Das Verschieben einer ECS-Instanz aus einer Sicherheitsgruppe führt dazu, dass die ECS-Instanz vom Netzwerk in der aktuellen Sicherheitsgruppe getrennt wird. Es wird empfohlen, vor dem Verschieben ausreichende Tests durchzuführen. Das entsprechende Python-Snippet von
lautet wie folgt.
def leave_sg(sg_id, instance_id): request = LeaveSecurityGroupRequest() request.set_InstanceId(instance_id) request.set_SecurityGroupId(sg_id) response = _send_request(request) return response # send open api request def _send_request(request): request.set_accept_format('json') try: response_str = clt.do_action(request) logging.info(response_str) response_detail = json.loads(response_str) return response_detail except Exception as e: logging.error(e)
Definieren Sie angemessene Sicherheitsgruppennamen und -bezeichnungen
Angemessene Sicherheitsgruppennamen und -beschreibungen helfen Ihnen, aktuelle komplexe Regelkombinationen schnell zu identifizieren. Sie können die Sicherheitsgruppe leichter identifizieren, indem Sie den Namen und die Beschreibung ändern.
Sie können auch Ihre eigenen Sicherheitsgruppen verwalten, indem Sie Labelgruppen für Sicherheitsgruppen festlegen. Sie können Labels direkt in der Konsole oder über die API festlegen.
Unnötige Sicherheitsgruppen löschen
Die Sicherheitsregeln in der Sicherheitsgruppe ähneln Whitelists und Blacklists. Behalten Sie daher bitte keine unnötigen Sicherheitsgruppen bei, um unnötige Probleme durch den versehentlichen Beitritt zu einer ECS-Instanz zu vermeiden.
Das obige ist der detaillierte Inhalt vonSo autorisieren und widerrufen Sie Sicherheitsgruppenregeln und treten Sicherheitsgruppen bei und verlassen sie. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!