玩轉天翼雲安全組

天翼雲的每臺雲主機都處於一個稱為虛擬私有云（CT-VPC ，Virtual Private Cloud）的邏輯隔離的網路環境之下，雲主機之間以及雲主機與外網之間的網路互訪靠什麼來保障安全呢?這就是安全組。

安全組用來實現安全組內和以及安全組之間雲主機的訪問控制，加強雲主機安全保護。在定義安全組時，可以按照流量進出方向、協議、IP地址、埠來自定義訪問規則，當雲主機加入安全組後，即受到這些訪問規則的保護。

當建立一臺雲主機時，這臺雲主機就自動處於某一個安全組的保護之下。如果沒有額外手動建立的話，系統將自動建立一個名稱為Sys-default的預設安全組。

預設的安全組有兩條規則：

 

第一條規則的作用是允許同一個安全組內的主機互訪

第二條規則的作用是允許雲主機訪問任意外網

其實還有第三條隱含的規則，即拒絕所有入方向的流量。

為簡化配置，安全組設計為只能允許的規則，不能配置拒絕的規則，即可將安全組視為是一個預設出方向全部允許，入方向全部禁止的防火牆。

第二條規則允許雲主機訪問任意外網好理解，那第一條規則允許同一個安全組內的主機互訪該如何理解呢？

假如我們有兩臺雲主機 HostA和HostB，它們屬於同一個VPC同一個子網，HostA的安全組為sgA，HostB的安全組為sgB

 

預設情況下，雖然HostA和HostB兩臺雲主機在同一個子網，但由於兩臺雲主機的安全組不同，導致相互之間不能互訪。如果兩臺雲主機屬於同一個安全組下，則由於第一條安全組規則的作用，兩臺雲主機相互之間可以訪問。

這時候如果要實現兩臺雲主機互訪，可以把兩臺雲主機調整到同一個安全組，或者分別在sgA安全組上新增規則允許sgB安全組，在sgB安全組上新增規則允許sgA安全組。

同一個VPC內的雲主機劃分到不同的安全組適用於對安全配置要求非常精細的場景。

比如有三臺伺服器，Web伺服器對外提供80埠Web接入，Web伺服器嚮應用伺服器8080埠發起應用請求，應用伺服器再向資料庫伺服器3306埠發起資料庫請求。

 

這時候我們可以定義三個安全組，Web安全組允許外網訪問80埠、App安全組允許Web安全組訪問8080埠、DB安全組允許App安全組訪問3306埠。

當然絕大多數場景下同一個VPC內的雲主機配置使用同一個安全組就足夠了，不需要配置得這麼複雜。

 

下面看一個配置例項：

假如有一臺Linux雲主機需要執行web服務，埠使用80埠。並且需要透過ssh進行遠端管理，能ping通雲主機的彈性IP進行故障監控。

這時候應該怎麼配置呢：

在天翼雲安全組控制檯，進入需要進行配置的安全組，點選“快速新增規則”。方向選擇為入方向，勾選SSH、HTTP、HTTPS，源地址不修改保留為0.0.0.0/0，即源地址為所有地址，點選確定，完成新增。

 

 

這就允許所有使用者訪問到雲主機的22、80、443埠。

再新增一條規則，方向為入方向、協議為ICMP、型別選擇Any，IP地址保持預設為0.0.0.0/0，點選確認，儲存。則所有使用者能ping通雲主機的公網IP地址，便於進行快速故障診斷。

 

 

        天翼雲安全組是獨立於雲主機作業系統的安全保護策略，在部署應用後發現應用不能訪問最常見的問題就是安全組策略沒有配置開放應用埠。