VPC最佳實踐（四）：VPC中的訪問控制

阿里雲的專有網路目前沒有網路的ACL，當前在專有網路中進行訪問控制，依賴各個雲產品的訪問控制能力。在此為介紹雲伺服器 ECS 、雲資料庫 RDS 、負載均衡的訪問控制功能。

 

ECS——安全組

安全組是一種虛擬防火牆，具備狀態檢測包過濾功能。安全組用於設定單臺或多臺雲伺服器的網路訪問控制，它是重要的網路安全隔離手段，用於在雲端劃分安全域。

 

安全組是一個邏輯上的分組，這個分組是由同一個地域（Region）內具有相同安全保護需求並相互信任的例項組成。每個例項至少屬於一個安全組，在建立的時候就需要指定。同一安全組內的例項之間網路互通，不同安全組的例項之間預設內網不通。可以授權兩個安全組之間互訪。

 

一個 VPC 型別的 ECS 例項只能加入本 VPC 的安全組。您可以隨時授權和取消安全組規則。您的變更安全組規則會自動應用於與安全組相關聯的ECS例項上。

預設只有同一個安全組的
ECS 例項可以網路互通。安全組可以根據出入方向的規則設定對安全組內部例項的出入方向網路流量進行訪問控制。

• 入方向：授權/拒絕某個IP或CIDR通過某個協議型別訪問安全組內部例項指定的埠範圍

• 出方向：授權/拒絕安全組內部例項通過某個協議訪問某個IP或CIDR的指定的埠範圍

當訪問控制規則衝突時，優先順序高的規則生效，優先順序相同時，“拒絕”的規則生效

 

安全組應作為白名單使用，且遵循“最小授權”原則

例如，用於運維管理的跳板機，該類例項一般具備很強的內網網路訪問許可權，需要暴露在公網並允許ssh登入。這類例項的風險較高，建議進行單獨管理。安全組規則可以這樣設計：

• 在跳板機例項所在的安全組中拒絕（deny）所有地址（0.0.0.0/0）對於該例項所有協議（all）埠（-1/-1）的訪問（Ingress）；
• 在該安全組中允許（allow）某運維人員的IP地址（xx.xx.xx.xx）對於該例項通過ssh（tcp，22埠）的方式登入（Ingress）跳板機；

由於相同安全組中的ECS內網互通，需要將不同業務環境、不同訪問控制需求的伺服器規劃在不同的安全組中

• 提供公網服務的和內網服務放置在不同的安全組中
• 不同應用使用不同的安全組
• 不同的部署環境使用不同的安全組

當需要專有網路中的伺服器內網互通時，有兩種方式，可以配置安全組之間互相授權，也可以通過設定安全組規則對特定地址段的出入方向授權來實現。當安全組數量較少或網路規劃不嚴格規劃時，前者的配置相對簡單；當安全組數量隨著業務部署的複雜度增加時，在合理的規劃伺服器地址段的基礎上，對地址段的授權能夠有效的降低安全組的配置和管理成本。

更多安全組的配置可以參考：

• 安全組介紹及功能
• 安全組實踐（一）
• 安全組實踐（二）
• 安全組實踐（三）

 

 

雲資料庫 RDS 版——白名單

基於雲資料庫 RDS 版的白名單功能，使用者可定義允許訪問 RDS 的 IP 地址，指定之外的 IP 地址將被拒絕訪問。在專有網路中使用RDS產品時，需要將雲伺服器的IP地址加入到需要訪問的RDS的白名單後，雲伺服器才能訪問RDS例項。

 

更多雲資料庫 RDS 版白名單的配置可以參考：

雲資料庫 RDS 版設定白名單

負載均衡——白名單

 

可以為負載均衡監聽設定僅允許哪些 IP 訪問，適用於應用只允許特定 IP 訪問的場景。負載均衡是將訪問流量根據轉發策略分發到後端多臺雲伺服器的流量分發控制服務。通過流量分發擴充套件應用系統對外的服務能力，通過消除單點故障提升應用系統的可用性。一般對於外網或內網使用者開放訪問。當服務僅對指定使用者開放，或僅用於內部訪問時，通過白名單功能可以有效的對服務進行訪問控制。在配置白名單時，將需要通過負載均衡服務訪問後端伺服器的使用者IP地址或專有網路內部的雲服務IP地址加入到負載均衡服務監聽的訪問控制白名單即可。

 

更多負載均衡白名單的配置可以參考：

負載均衡設定訪問控制