セキュリティグループのネットワークアクセスルールとセキュリティグループ関連情報の設定方法
この記事では、セキュリティ グループのネットワーク アクセス ルールを構成する方法と、セキュリティ グループに関連する情報を紹介します。この記事の内容は非常にコンパクトなので、根気よく勉強していただければ幸いです。
クラウド セキュリティ グループは、単一または複数の ECS インスタンスのネットワーク アクセス制御を設定するために使用される仮想ファイアウォールのような機能を提供します。これはセキュリティ分離の重要な手段です。 ECS インスタンスを作成するときは、セキュリティ グループを選択する必要があります。セキュリティ グループ ルールを追加して、特定のセキュリティ グループの下にあるすべての ECS インスタンスの送信ネットワークと受信ネットワークを制御することもできます。
この記事では主にセキュリティグループのネットワークアクセスルールの設定方法を紹介します。
セキュリティ グループ関連情報
セキュリティ グループのネットワーク アクセス ルールを構成する前に、次のセキュリティ グループ関連情報を理解しておく必要があります。
セキュリティ グループの制限
セキュリティ グループのデフォルト ルール
セキュリティ グループのアクセス許可を In 方向に設定します
セキュリティのアクセス許可を設定しますOut 方向のグループ
セキュリティ グループの実践に関する基本的な提案
セキュリティ グループの実践を開始する前に、いくつかの基本的な提案を示します:
最も重要なルール: セキュリティ グループはホワイトリストとして使用する必要があります。
アプリケーション アクセス ルールを開くときは、「最小限の承認」の原則に従う必要があります。たとえば、特定のポート (ポート 80 など) を開くように選択できます。
層が異なれば要件も異なるため、1 つのセキュリティ グループを使用してすべてのアプリケーションを管理することはできません。
分散アプリケーションの場合、アプリケーションの種類ごとに異なるセキュリティ グループを使用する必要があります。たとえば、Web、サービス、データベース、キャッシュの各層に異なるセキュリティ グループを使用して、異なるアクセス ルールと権限を公開する必要があります。
管理コストを制御するために、インスタンスごとに個別のセキュリティ グループを設定する必要はありません。
VPC ネットワークを優先します。
パブリック ネットワーク アクセスを必要としないリソースには、パブリック ネットワーク IP を提供しないでください。
単一のセキュリティ グループのルールはできるだけ単純にしてください。インスタンスは最大 5 つのセキュリティ グループに参加でき、セキュリティ グループには最大 100 のセキュリティ グループ ルールを含めることができるため、インスタンスには数百のセキュリティ グループ ルールが同時に適用される可能性があります。割り当てられたすべてのセキュリティ ルールを集約して、流入を許可するかステイアウトを許可するかを決定できますが、個々のセキュリティ グループ ルールが複雑な場合、管理が複雑になります。したがって、単一のセキュリティ グループのルールはできるだけ単純にしてください。
オンライン セキュリティ グループの入口と出口のルールを調整することは、比較的危険な操作です。確信が持てない場合は、セキュリティ グループのアクセス ルール設定を更新しないでください。 Alibaba Cloud のコンソールは、セキュリティ グループとセキュリティ グループ ルールを複製する機能を提供します。オンライン セキュリティ グループとルールを変更する場合は、オンライン アプリケーションに直接影響を与えないように、最初にセキュリティ グループを複製し、次に複製したセキュリティ グループでデバッグする必要があります。
セキュリティ グループのネットワーク アクセス ルールを設定する
セキュリティ グループのネットワーク アクセス ルールに関する実際的な提案を次に示します。
ネットワーク アクセス ルール 0.0.0.0/0
すべてのネットワーク アクセスを許可するのはよくある間違いです。 0.0.0.0/0 を使用すると、すべてのポートが外部に公開されることになります。これは非常に危険です。正しいアプローチは、まずすべてのポートが外部に開かれることを拒否することです。セキュリティ グループはアクセスのためにホワイトリストに登録する必要があります。たとえば、Web サービスを公開する必要がある場合、デフォルトでは 80、8080、443 などの一般的な TCP ポートのみを開き、他のポートは閉じたままにすることができます。
{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,不要なネットワーク アクセス ルールを閉じてください
現在使用しているアクセス ルールにすでに 0.0.0.0/0 が含まれている場合は、アプリケーションの必要性を再検討する必要があります。外部の世界に公開される 公開されたポートとサービス。特定のポートが外部にサービスを直接提供したくない場合は、拒否ルールを追加できます。たとえば、MySQL データベース サービスがサーバーにインストールされている場合、デフォルトでポート 3306 をパブリック ネットワークに公開しないでください。この時点で、以下に示すように拒否ルールを追加し、その優先度を 100 に設定できます。優先度が最も低い。
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" :
"0.0.0.0/0", "Policy": "drop", Priority: 100} ,上記の調整により、すべてのポートがポート 3306 にアクセスできなくなり、通常のビジネス ニーズが妨げられる可能性が高くなります。現時点では、別のセキュリティ グループのリソースに受信ルールへのアクセスを許可できます。
#別のセキュリティ グループにネットワークへのアクセスを許可する
さまざまなセキュリティ グループが、最小原則に従って、対応するアクセス ルールを開きます。異なるアプリケーション層には異なるセキュリティ グループを使用する必要があり、異なるセキュリティ グループには対応するアクセス ルールが必要です。 たとえば、分散アプリケーションの場合は、異なるセキュリティ グループを区別しますが、現時点では、IP または CIDR ネットワークに直接アクセスできない可能性があります。セグメントに直接アクセスできますが、別のセキュリティ グループ ID のすべてのリソースに直接アクセスできます。たとえば、アプリケーションは Web とデータベースに異なるセキュリティ グループ (sg-web と sg-database) を作成します。 sg-database では、次のルールを追加して、sg-web セキュリティ グループのすべてのリソースが 3306 ポートにアクセスすることを承認できます。 { "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy":
"accept", Priority: 2} ,別の CIDR にネットワークへのアクセスを許可する
クラシック ネットワークでは、ネットワーク セグメントを制御できないため、セキュリティ グループ ID を使用してセキュリティ グループ ID を使用することをお勧めします。ネットワークアクセスルールを承認します。VPC 网络中,您可以自己通过不同的 VSwitch 设置不同的 IP 域,规划 IP 地址。所以,在 VPC 网络中,您可以默认拒绝所有的访问,再授信自己的专有网络的网段访问,直接授信可以相信的 CIDR 网段。
{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
{ "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
{ "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,变更安全组规则步骤和说明
变更安全组规则可能会影响您的实例间的网络通信。为了保证必要的网络通信不受影响,您应先尝试以下方法放行必要的实例,再执行安全组策略收紧变更。
注意:执行收紧变更后,应观察一段时间,确认业务应用无异常后再执行其它必要的变更。
新建一个安全组,将需要互通访问的实例加入这个安全组,再执行变更操作。
如果授权类型为 安全组访问,则将需要互通访问的对端实例所绑定的安全组 ID 添加为授权对象;
如果授权类型为 地址段访问,则将需要互通访问的对端实例内网 IP 添加为授权对象。
以上がセキュリティグループのネットワークアクセスルールとセキュリティグループ関連情報の設定方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7322
9
1625
14
1350
46
1262
25
1209
29
Android TV Box が非公式の Ubuntu 24.04 アップグレードを取得
Sep 05, 2024 am 06:33 AM
多くのユーザーにとって、Android TV ボックスをハッキングするのは気が遠くなるように思えます。しかし、開発者の Murray R. Van Luyn は、Broadcom チップが不足する中、Raspberry Pi に代わる適切な代替品を探すという課題に直面しました。アルムビアとの共同作業
Deepseek Webバージョンの入り口Deepseek公式ウェブサイトの入り口
Feb 19, 2025 pm 04:54 PM
DeepSeekは、Webバージョンと公式Webサイトの2つのアクセス方法を提供する強力なインテリジェント検索および分析ツールです。 Webバージョンは便利で効率的であり、公式ウェブサイトは包括的な製品情報、ダウンロードリソース、サポートサービスを提供できます。個人であろうと企業ユーザーであろうと、DeepSeekを通じて大規模なデータを簡単に取得および分析して、仕事の効率を向上させ、意思決定を支援し、イノベーションを促進することができます。
DeepSeekをインストールする方法
Feb 19, 2025 pm 05:48 PM
DeepSeekをインストールするには、Dockerコンテナ(最も便利な場合は、互換性について心配する必要はありません)を使用して、事前コンパイルパッケージ(Windowsユーザー向け)を使用してソースからコンパイル(経験豊富な開発者向け)を含む多くの方法があります。公式文書は慎重に文書化され、不必要なトラブルを避けるために完全に準備します。
BitPie Bitpie ウォレット アプリのダウンロード アドレス
Sep 10, 2024 pm 12:10 PM
BitPie Bitpie ウォレット アプリをダウンロードするにはどうすればよいですか?手順は次のとおりです。 AppStore (Apple デバイス) または Google Play ストア (Android デバイス) で「BitPie Bitpie Wallet」を検索します。 「入手」または「インストール」ボタンをクリックしてアプリをダウンロードします。コンピューター版の場合は、BitPie ウォレットの公式 Web サイトにアクセスし、対応するソフトウェア パッケージをダウンロードしてください。
Bitget公式ウェブサイトのインストール(2025初心者ガイド)
Feb 21, 2025 pm 08:42 PM
Bitgetは、スポット取引、契約取引、デリバティブなど、さまざまな取引サービスを提供する暗号通貨交換です。 2018年に設立されたこのExchangeは、シンガポールに本社を置き、安全で信頼性の高い取引プラットフォームをユーザーに提供することに取り組んでいます。 Bitgetは、BTC/USDT、ETH/USDT、XRP/USDTなど、さまざまな取引ペアを提供しています。さらに、この取引所はセキュリティと流動性について評判があり、プレミアム注文タイプ、レバレッジド取引、24時間年中無休のカスタマーサポートなど、さまざまな機能を提供します。
Zabbix 3.4 ソースコードコンパイルのインストール
Sep 04, 2024 am 07:32 AM
1. インストール環境 (Hyper-V 仮想マシン): $hostnamectlStatichostname:localhost.localdomainIconname:computer-vmChassis:vmMachineID:renwoles1d8743989a40cb81db696400BootID:renwoles272f4aa59935dcdd0d456501Virtualization:microsoftOperatingSystem:CentOS Linux7(Core)CPEOSName: CP:
OUYI OKXインストールパッケージが直接含まれています
Feb 21, 2025 pm 08:00 PM
世界をリードするデジタル資産交換であるOuyi Okxは、安全で便利な取引体験を提供するために、公式のインストールパッケージを開始しました。 OUYIのOKXインストールパッケージは、ブラウザに直接インストールでき、ユーザー向けの安定した効率的な取引プラットフォームを作成できます。インストールプロセスは、簡単で理解しやすいです。
gate.ioインストールパッケージを無料で入手してください
Feb 21, 2025 pm 08:21 PM
Gate.ioは、インストールパッケージをダウンロードしてデバイスにインストールすることで使用できる人気のある暗号通貨交換です。インストールパッケージを取得する手順は次のとおりです。Gate.ioの公式Webサイトにアクセスし、「ダウンロード」をクリックし、対応するオペレーティングシステム(Windows、Mac、またはLinux)を選択し、インストールパッケージをコンピューターにダウンロードします。スムーズなインストールを確保するために、インストール中に一時的にウイルス対策ソフトウェアまたはファイアウォールを一時的に無効にすることをお勧めします。完了後、ユーザーはGATE.IOアカウントを作成して使用を開始する必要があります。
