雲原生API Gateway和後端服務所在的節點分別處於不同安全性群組內。您可以通過設定安全性群組規則為雲原生API Gateway授予訪問後端服務的許可權。
背景資訊
安全性群組是一種虛擬防火牆,用於控制安全性群組內ECS執行個體和ENI網卡的入流量和出流量,從而提高ECS執行個體的安全性。安全性群組具備狀態檢測和資料包過濾能力,您可以基於安全性群組的特性和安全性群組規則的配置在雲端劃分安全域,詳情請參見安全性群組概述。
您在購買雲原生API Gateway時需要選擇VPC和安全性群組類型(建議與後端服務所在安全性群組類型一致),根據您選擇的安全性群組類型,雲原生API Gateway會建立相應託管安全性群組管理網關的執行個體節點。因為雲原生API Gateway和後端服務所在的節點分別處於不同安全性群組內,需要您在後端服務的安全性群組內為雲原生API Gateway授予必要的連接埠範圍存取權限。
上圖展示了如何通過雲原生API Gateway實現不同類型服務的網路安全存取控制和流量分發,串連關係如下:
從左側的用戶端裝置(如電腦),通過雲原生API Gateway進入內部網路。
雲原生API Gateway根據配置將流量分別轉寄到service-sg1和service-sg2。
service-sg1中的Pod可以處理來自8080/8080連接埠的請求。
service-sg2中的ECS可以處理來自80/9000連接埠的請求。
步驟一:擷取目標服務所在節點的安全性群組
雲原生API Gateway關聯的上遊服務,主要包括容器部署和ECS部署。您可以通過以下方式擷取安全性群組ID。
目標服務部署在Container ServiceACK中
登入Container Service管理主控台,在左側導覽列選擇叢集列表。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇。
在節點池頁面,單擊對應的節點,然後單擊基本資料頁簽,擷取安全性群組的ID。
目標服務部署在ECS上
登入ECS管理主控台。
在左側導覽列,選擇。
在執行個體頁面,單擊目標服務所部署的ECS執行個體,然後單擊安全性群組頁簽,擷取安全性群組的ID。
步驟二:添加安全性群組授權規則
在左側導覽列,選擇執行個體,並在頂部功能表列選擇地區。
在執行個體頁面,單擊目標網關執行個體ID。
在左側導覽列單擊概覽,然後單擊安全性群組授權頁簽。
單擊授權安全性群組,在安全性群組ID的文字框中,粘貼步驟一中擷取的安全性群組ID,選擇相應的安全性群組。
輸入安全性群組授權的連接埠範圍:起始值/終止值。
可以輸入多個連接埠範圍,每輸入一個連接埠範圍單擊斷行符號,即可生效。
單擊儲存。
雲原生API Gateway會產生對應的規則。
同時目標節點所在的安全性群組中也會看到在雲原生API Gateway建立的安全性群組規則。
刪除安全性群組授權規則
在左側導覽列,選擇執行個體,並在頂部功能表列選擇地區。
在執行個體頁面,單擊目標網關執行個體ID。
單擊安全性群組授權頁簽,然後單擊操作列下方的刪除,單擊確定。
預設只刪除雲原生API Gateway的安全性群組規則,如需將目標節點所在安全性群組的規則一併刪除,您還需要勾選串聯刪除該安全性群組內的上述入方向規則。
常見問題
問題一:安全性群組已經授權,為什麼服務還是訪問不通?
您可以按照如下步驟自助排查:
首先需要確認您的目標服務所部署的節點是否正確。
有可能存在服務部署在了A節點上,但是給B節點所在的安全性群組授權。
您的目標節點是否設定了多個安全性群組。
如果是多個安全性群組,建議給每個安全性群組都授權。
問題二:安全性群組已經授權,之前網關訪問服務是通的,現在突然間不通了,是什麼原因?
您可以按照如下步驟自助排查:
首先確認您的服務本身沒有問題。
您可以對同一安全性群組內的其他節點使用
curl命令檢查服務的連通性。確認您發布的服務對外暴露的連接埠是否有變更。
例如以前連接埠為8080,在雲原生API Gateway只給8080連接埠授權了,之後又將連接埠變更為8081,這時需要重新調整雲安全性群組授權規則連接埠。為了避免這種情況發生,建議您在配置安全性群組授權時擴大連接埠範圍,可以將範圍選成1/65535。