阿里云應(yīng)用案例有哪些
除了提供安全保障,您還可以使用安全組實(shí)現(xiàn):
案例 1:內(nèi)網(wǎng)互通
案例 2:攔截特定 IP 或 端口
案例 3:只允許特定 IP 遠(yuǎn)程登錄到實(shí)例
案例 4:只允許實(shí)例訪問外部特定 IP
說明:本文檔介紹的案例僅適用于經(jīng)典網(wǎng)絡(luò)。
案例 1:使用安全組實(shí)現(xiàn)內(nèi)網(wǎng)互通
在經(jīng)典網(wǎng)絡(luò)下,您可以使用安全組實(shí)現(xiàn)不同 ECS 實(shí)例間的內(nèi)網(wǎng)互通。有兩種情況:
場(chǎng)景 1:實(shí)例屬于同一個(gè)地域,同一個(gè)賬號(hào)
場(chǎng)景 2:實(shí)例屬于同一個(gè)地域,不同賬號(hào)
場(chǎng)景 1:同一地域,同一賬號(hào)
同一個(gè)地域內(nèi),同一個(gè)賬號(hào)下,經(jīng)典網(wǎng)絡(luò)下可以通過安全組規(guī)則設(shè)置云服務(wù)器之間內(nèi)網(wǎng)互通。
同一個(gè)安全組下的云服務(wù)器,默認(rèn)內(nèi)網(wǎng)互通。不同的安全組下的云服務(wù)器,默認(rèn)內(nèi)網(wǎng)不通。要實(shí)現(xiàn)內(nèi)網(wǎng)互通,有以下解決辦法:
方案 1:可以把云服務(wù)器放入到相同的安全組中,就可以滿足內(nèi)網(wǎng)都互通了。
方案 2:如果云服務(wù)器不在同一個(gè)安全組內(nèi),兩個(gè)安全組互相內(nèi)網(wǎng)授權(quán)安全組訪問類型的安全組規(guī)則。在 授權(quán)對(duì)象 中添加對(duì)方的 IP 地址即可。
場(chǎng)景 2:同一地域,不同賬號(hào)
同一個(gè)地域內(nèi),不同賬號(hào)下,經(jīng)典網(wǎng)絡(luò)下可以通過安全組規(guī)則設(shè)置兩臺(tái)云服務(wù)器之間內(nèi)網(wǎng)互通。比如:
UserA 的用戶在華東 1 (杭州)有一臺(tái)經(jīng)典網(wǎng)絡(luò)的 ECS 云服務(wù)器 InstanceA(內(nèi)網(wǎng) IP:A.A.A.A),InstanceA 所屬的安全組為 GroupA;
UserB 的用戶在華東 1 (杭州)有一臺(tái)經(jīng)典網(wǎng)絡(luò)的 ECS 云服務(wù)器 InstanceB(內(nèi)網(wǎng) IP:B.B.B.B),InstanceB 所屬的安全組為 GroupB。
這種情況下,可以通過安全組配置實(shí)現(xiàn) InstanceA 和 InstanceB 在內(nèi)網(wǎng)上互通。步驟如下:
UserA 為 GroupA 添加一條這樣的規(guī)則:在 內(nèi)網(wǎng)入方向 授權(quán) B.B.B.B 的 IP 可以訪問 GroupA 下的所有 ECS 云服務(wù)器。
UserB 為 GroupB 添加一條這樣的規(guī)則:在 內(nèi)網(wǎng)入方向 授權(quán) A.A.A.A 的 IP 可以訪問 GroupB 下的所有 ECS 云服務(wù)器。
這樣兩臺(tái)實(shí)例就可以互通了。
案例 2:使用安全組屏蔽、攔截、阻斷特定 IP 或端口對(duì) ECS 實(shí)例的訪問
您可以使用安全組屏蔽、攔截、阻止特定 IP 對(duì)用戶云服務(wù)器的訪問,或者屏蔽 IP 訪問服務(wù)器的特定端口。操作如下:
登錄 云服務(wù)器管理控制臺(tái)。
找到要配置的實(shí)例。
打開實(shí)例的 本實(shí)例安全組 點(diǎn)擊 配置規(guī)則。
單擊 公網(wǎng)入方向,然后單擊 添加安全組規(guī)則。
授權(quán)策略選擇 拒絕,授權(quán)對(duì)象 輸入需要屏蔽的 IP 地址。單擊 確定。
如果是針對(duì)特定端口的限制,比如屏蔽一個(gè)特定 IP 訪問自己 ECS 實(shí)例的 22 端口,授權(quán)策略選擇 拒絕,協(xié)議類型選擇 TCP,端口范圍填寫為 22/22,授權(quán)對(duì)象填寫待屏蔽的 IP 地址。單擊 確認(rèn)。
案例 3:只允許特定 IP 遠(yuǎn)程登錄到實(shí)例
通過配置安全組規(guī)則可以設(shè)置只讓特定 IP 遠(yuǎn)程登陸到實(shí)例。只需要在公網(wǎng)入方向配置規(guī)則就可以了。
以 Linux 服務(wù)器為例,設(shè)置只讓特定 IP 訪問 22 端口。
添加一條公網(wǎng)入方向安全組規(guī)則,允許訪問,協(xié)議類型選擇 TCP,端口寫 22/22,授權(quán)類型為地址段訪問,IP 寫指定允許遠(yuǎn)程鏈接的 IP,優(yōu)先級(jí)為 1。
再添加一條規(guī)則,拒絕訪問,協(xié)議類型選擇 TCP,端口寫 22/22,授權(quán)類型為地址段訪問,授權(quán)對(duì)象寫所有 0.0.0.0/0,優(yōu)先級(jí)為 2。
再添加一條規(guī)則,允許訪問,協(xié)議類型選擇全部,端口全部默認(rèn),授權(quán)對(duì)象寫所有 0.0.0.0/0,優(yōu)先級(jí)為 3。
添加完畢后總共如下三條規(guī)則就可以了。設(shè)置完之后:
來自 IP 182.92.253.20 訪問 22 端口優(yōu)先執(zhí)行優(yōu)先級(jí)為 1 的規(guī)則允許。
來自其他 IP 訪問 22 端口優(yōu)先執(zhí)行優(yōu)先級(jí)為 2 的規(guī)則拒絕了。
訪問其他端口執(zhí)行優(yōu)先級(jí)為 3 的規(guī)則允許。
案例 4:只允許實(shí)例訪問外部特定 IP