云服務(wù)器ECS安全組實(shí)踐(二)_第1頁(yè)
云服務(wù)器ECS安全組實(shí)踐(二)_第2頁(yè)
云服務(wù)器ECS安全組實(shí)踐(二)_第3頁(yè)
云服務(wù)器ECS安全組實(shí)踐(二)_第4頁(yè)
云服務(wù)器ECS安全組實(shí)踐(二)_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

云服務(wù)器ECS安全組實(shí)踐(二)本文章來(lái)自于阿里云云棲社區(qū)摘要:云服務(wù)器ECS安全組實(shí)踐(一)中我們簡(jiǎn)單介紹了安全組的一些規(guī)則和約束和實(shí)踐,在創(chuàng)建一臺(tái)云服務(wù)的時(shí)候,它作為幾個(gè)必選參數(shù)之一,可見(jiàn)它的重要性。本文將繼續(xù)安全組的介紹,本篇涉及到下面的幾個(gè)內(nèi)容:授權(quán)和撤銷(xiāo)安全組規(guī)則加入安全組和離開(kāi)安全組阿里云的網(wǎng)絡(luò)類(lèi)型分為經(jīng)典網(wǎng)絡(luò)和VPC,他們對(duì)安全組支持不同的設(shè)置規(guī)則。云服務(wù)器ECS安全組實(shí)踐(一)(原文鏈接:https://yq.aliyun.com/articles/70403?spm=5176.100239.blogcont71050.17.aWOfds)中我們簡(jiǎn)單介紹了安全組的一些規(guī)則和約束和實(shí)踐,在創(chuàng)建一臺(tái)云服務(wù)的時(shí)候,它作為幾個(gè)必選參數(shù)之一,可見(jiàn)它的重要性。本文將繼續(xù)安全組的介紹,本篇涉及到下面的幾個(gè)內(nèi)容:?授權(quán)(原文鏈接:/document_detail/25554.html?spm=5176.100239.blogcont71050.18.d3eNja)和撤銷(xiāo)(原文鏈接:/document_detail/25557.html?spm=5176.100239.blogcont71050.19.p7Bch2)安全組規(guī)則?加入安全組(原文鏈接:https://help.aliyun.com/document_detail/25508.html?spm=5176.100239.blogcont71050.20.Pymm0x)和離開(kāi)安全組(原文鏈接:https://help.aliyun.com/document_detail/25509.html?spm=5176.100239.blogcont71050.21.mFSVcq)阿里云的網(wǎng)絡(luò)類(lèi)型分為經(jīng)典網(wǎng)絡(luò)和VPC,他們對(duì)安全組支持不同的設(shè)置規(guī)則。對(duì)于經(jīng)典網(wǎng)絡(luò)你可以設(shè)置下面的幾個(gè)規(guī)則:內(nèi)網(wǎng)入方向、內(nèi)網(wǎng)出方向、公網(wǎng)入方向、公網(wǎng)出方向。對(duì)于VPC網(wǎng)絡(luò)可以設(shè)置:內(nèi)網(wǎng)入方向、內(nèi)網(wǎng)出方向。在開(kāi)始本篇之前描述幾個(gè)安全組內(nèi)網(wǎng)通訊的概念:?默認(rèn)情況下只有同一個(gè)安全組的機(jī)器可以網(wǎng)絡(luò)互通很卩便同一個(gè)用戶(hù)的兩個(gè)安全組的機(jī)器內(nèi)網(wǎng)網(wǎng)絡(luò)也不通。這個(gè)對(duì)于經(jīng)典網(wǎng)絡(luò)和VPC網(wǎng)絡(luò)都適用。所以經(jīng)典網(wǎng)絡(luò)的云服務(wù)器也是內(nèi)網(wǎng)安全的。?如果您的非同一個(gè)安全組的兩臺(tái)云服務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)可以互通而這又不符合您的預(yù)期,請(qǐng)檢查您的安全組內(nèi)網(wǎng)規(guī)則設(shè)置。如果內(nèi)網(wǎng)協(xié)議存在下面的協(xié)議,建議您重新設(shè)置。如果是經(jīng)典網(wǎng)絡(luò)這樣會(huì)導(dǎo)致您的內(nèi)網(wǎng)暴漏給其它的訪問(wèn)。o允許所有端口o授權(quán)對(duì)象為CIDR網(wǎng)段(SourceCidrlp):/0或者/8的規(guī)則?如果資源創(chuàng)建在不同的安全組內(nèi),想實(shí)現(xiàn)網(wǎng)絡(luò)互通就需要通過(guò)安全組進(jìn)行授權(quán)。對(duì)于內(nèi)網(wǎng)訪問(wèn),我們建議您使用源安全組授權(quán)不要使用CIDR網(wǎng)段。安全規(guī)則主要是描述不同的訪問(wèn)權(quán)限,主要有下面的屬性:Policy:授權(quán)策略acceptordropPriority:優(yōu)先級(jí)根據(jù)創(chuàng)建的時(shí)間降序排序匹配。規(guī)則優(yōu)先級(jí)可選范圍為1-100,默認(rèn)值為1,即最高優(yōu)先級(jí)。數(shù)字越大,代表優(yōu)先級(jí)越低。?NicType:當(dāng)對(duì)安全組進(jìn)行相互授權(quán)時(shí)(即指定了SourceGroupId且沒(méi)有指定SourceCidrlp),必須指定NicType為intranet。?規(guī)則描述,通過(guò)安全組授權(quán),NicType只能選擇intranet,和通過(guò)CIDR授權(quán)只能二選一oSourceGroupId:通過(guò)安全組,默認(rèn)對(duì)SourceCidrlp授權(quán)oIpProtocol:tcp|udp|icmp|gre|alloPortRange:例如80/80oSourceGroupOwnerAccount非可選,僅為跨帳號(hào)授權(quán)的時(shí)候?通過(guò)CIDR授權(quán)規(guī)則:oSourceCidrIp:CIDR的網(wǎng)段oIpProtocol:tcp|udp|icmp|gre|alloPortRange:例如80/80oSourceGroupOwnerAccount非可選,僅為跨帳號(hào)授權(quán)的時(shí)候授權(quán)一條入網(wǎng)請(qǐng)求規(guī)則當(dāng)在控制臺(tái)或者API創(chuàng)建一個(gè)安全組,是不存在任何的安全規(guī)則,意味著默認(rèn)情況下您的入網(wǎng)請(qǐng)求全部是拒絕的。所以您要適度的配置您的入網(wǎng)規(guī)則。如果需要開(kāi)啟公網(wǎng)的80端口對(duì)外提供HTTP服務(wù),由于公網(wǎng)訪問(wèn),我們期望的是入網(wǎng)盡可能多訪問(wèn),所以在IP網(wǎng)段上不做限制,設(shè)置為/0。可以參考下面的屬性,括號(hào)外為控制臺(tái)參數(shù),括號(hào)內(nèi)為OpenApi參數(shù),兩者相同就不做區(qū)分。通過(guò)EIP(原文鏈接:https://common-buy.aliyun.com/?spm=5176.100239.blogcont71050.22.TXL1HY&commodityCode=eip#/buy)實(shí)現(xiàn)?授權(quán)策略(Policy):允許(accept)?規(guī)則方向(NicType):入網(wǎng)協(xié)議類(lèi)型(IpProtocol):TCP(tcp)端口范圍(PortRange):80/80?授權(quán)對(duì)象(SourceCidrlp):/0?優(yōu)先級(jí)(Priority):1上面的建議僅對(duì)公網(wǎng)有效,內(nèi)網(wǎng)請(qǐng)求嚴(yán)格不建議使用DR網(wǎng)段,請(qǐng)參加下文禁止一個(gè)入網(wǎng)請(qǐng)求規(guī)則禁止一條規(guī)則就比較簡(jiǎn)單。只需要配置一條拒絕策略,但是同時(shí)設(shè)置較低的優(yōu)先級(jí)即可,這樣當(dāng)需要的時(shí)候您可以通過(guò)配置其它的高優(yōu)先級(jí)的規(guī)則覆蓋這條規(guī)則即可。例如下面就設(shè)置了拒絕6379端口被訪問(wèn)。?網(wǎng)卡類(lèi)型(NicType):內(nèi)網(wǎng)(intranet)?授權(quán)策略(Policy):拒絕(drop)?規(guī)則方向(NicType):入網(wǎng)協(xié)議類(lèi)型(IpProtocol):TCP(tcp)端口范圍(PortRange):6379/6379?授權(quán)對(duì)象(SourceCidrlp):/0?優(yōu)先級(jí)(Priority):100經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)安全組規(guī)則不要使用CIDR或者IP授權(quán)對(duì)于經(jīng)典網(wǎng)絡(luò)的服務(wù)器,阿里云默認(rèn)不開(kāi)啟任何內(nèi)網(wǎng)的入規(guī)則。內(nèi)網(wǎng)的授權(quán)一定要謹(jǐn)慎。*為了安全考慮,非常不建議開(kāi)啟任何基于CIDR網(wǎng)段的授權(quán)*,對(duì)于彈性計(jì)算來(lái)說(shuō)內(nèi)網(wǎng)的IP經(jīng)常變化的,其次這個(gè)IP的網(wǎng)段是沒(méi)有規(guī)律的,所以對(duì)于經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)我們只建議您通過(guò)安全組授權(quán)內(nèi)網(wǎng)的訪問(wèn)。例如您在安全組sg-redis上構(gòu)建了一個(gè)redis的集群,為了只允許特定的機(jī)器訪問(wèn)這個(gè)redis的服務(wù)器編組,例如sg-web,您不需要配置任何的CIDR,只需要添加一條入規(guī)則即可,指定相關(guān)的安全組id即可。?網(wǎng)卡類(lèi)型(NicType):內(nèi)網(wǎng)(intranet)?授權(quán)策略(Policy):允許(accept)?規(guī)則方向(NicType):入網(wǎng)協(xié)議類(lèi)型(IpProtocol):TCP(tcp)端口范圍(PortRange):6379/6379?授權(quán)對(duì)象(SourceGroupId):sg-web?優(yōu)先級(jí)(Priority):1對(duì)于VPC類(lèi)型的如果您已經(jīng)通過(guò)多個(gè)VSwitch規(guī)劃好了自己IP范圍設(shè)置,您可以通過(guò)CIDR設(shè)置,但是如果您的VPC網(wǎng)段不夠清晰的話也建議優(yōu)先考慮使用安全組作為入規(guī)則。將需要互相通信的云服務(wù)器加入同一個(gè)安全組在上一篇中我們提到,一個(gè)云服務(wù)器最多可以屬于5個(gè)安全組。還有一條原則是同一安全組之間的云服務(wù)器是網(wǎng)絡(luò)互通的如果您在規(guī)劃的時(shí)候已經(jīng)有多個(gè)安全組,而直接設(shè)置多個(gè)安全規(guī)則過(guò)于復(fù)雜的話,您可以選擇需要內(nèi)網(wǎng)通信的機(jī)器,將它們加入同一個(gè)安全組即可。安全組是區(qū)分網(wǎng)絡(luò)類(lèi)型的,對(duì)于一個(gè)經(jīng)典類(lèi)型的云服務(wù)器只可以選擇加入經(jīng)典網(wǎng)絡(luò)的安全組,對(duì)于VPC類(lèi)型的云服務(wù)器只可以加入本VPC的安全組。這里也不建議您將所有的云服務(wù)器都加入一個(gè)安全組,將會(huì)使得您的安全組規(guī)則設(shè)置變成夢(mèng)魘。對(duì)于一個(gè)中大型應(yīng)用來(lái)說(shuō),每個(gè)服務(wù)器編組的角色不同,要合理的規(guī)劃自己的入方向請(qǐng)求和出方向請(qǐng)求是非常有必要的。加入一個(gè)安全組非常簡(jiǎn)單,您可以在控制臺(tái)選擇一個(gè)云服務(wù)器,然后點(diǎn)擊更多->選擇安全組管理即可,或者選擇實(shí)例詳情,進(jìn)入本實(shí)例安全組查看進(jìn)行操作。如果您對(duì)阿里云的OpenApi非常熟悉,您可以參考使用OpenApi彈性管理云服務(wù)器ECS(原文鏈接:https://yq.aliyun.com/articles/69135?spm=5176.100239.blogcont71050.23.oMZ6fa),您可以通過(guò)OpenApi方便的進(jìn)行批量操作,對(duì)應(yīng)的python片段如下:defjon_sg(sg_d^n^ance_d)^^^^lrequest=JoinSecurityGroupRequest()request.set_InstanceId(instance_^)^Hrequest.set_SecurityGroupId(Sg_^)^Hresponse=_sen^_request(request)Hrespon#sendopenapireqUest^^Hdef_send_request(reqUest):^Hrequest.set_accept_format('json')response_str=clt.do_action(request)^^B(response_str)^^^^^^^^Hresponse_detail=json.loads(response_str)returnresponse_detail^^^^^^^^^^^lexceptException將云服務(wù)器移除安全組如果云服務(wù)器加入不合適的安全組,將會(huì)導(dǎo)致暴漏或者Block您的服務(wù),這個(gè)時(shí)候你可以選擇將服務(wù)器從這個(gè)安全組中移除。由于云服務(wù)器必須屬于一個(gè)安全組,您需要另外一個(gè)安全組。加入一個(gè)安全組非常簡(jiǎn)單,您可以在控制臺(tái)選擇一個(gè)云服務(wù)器,然后更多->選擇安全組管理即可,或者選擇實(shí)例詳情,進(jìn)入本實(shí)例安全組查看進(jìn)行操作。將云服務(wù)器從安全組移出,將會(huì)導(dǎo)致這個(gè)云服務(wù)器和當(dāng)前安全組內(nèi)的網(wǎng)絡(luò)不通,建議您做好充分的測(cè)試。對(duì)應(yīng)的python片段如下defeave_sg(sg_d^nstan^e_id)^^^^lrequest=LeaveSecurityGroupRequest()request.set_InstanceId(instance_id)^^Hrequest.set_SecurityGroupId(Sg_^)^^Hresponse=_sen^_request(request)^Hreturnresponse^^^^^^^^^^^^H#sendopenapidel_send_lLqUesl(.eqUesl):^^^^^^Mrequest.set_accept_format('json^^^^Bresponse_str=clt.do_action(request)^^B(response_str)^^^^^^^^Hresponse_detail=json.loads(response_str)returnresponse_detail^^^^^^^^^^^lexceptException定義合理的安全組名稱(chēng)和TAG合理的安全組名稱(chēng)和描述非常有助于您快速的識(shí)別當(dāng)前的復(fù)雜的規(guī)則的組合含義。所

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論