安全性群組是執行個體層級防火牆,為保障執行個體安全,設定安全性群組規則時要遵循最小授權原則,下面介紹四種安全的內網執行個體互連設定方法。

方法 1. 使用單 IP 位址授權

  • 適用情境:適用於小規模執行個體間內網互連情境。
  • 優點:以IP地址方式授權,安全性群組規則清晰,容易理解。
  • 缺點:內網互連執行個體數量較多時,會受到安全性群組規則條數 100 條的限制,另外後期維護工作量比較大。
  • 設定方法:
    1. 選擇需要互連的執行個體,進入本執行個體安全性群組
    2. 選擇需要配置安全性群組,單擊配置規則
    3. 單擊內網入方向,並單擊添加安全性群組規則
    4. 按以下描述添加安全性群組規則:
      • 授權策略:允許。
      • 協議類型:根據實際需要選擇協議類型。
      • 連接埠範圍:根據您的實際需要設定連接埠範圍,格式為開始端點口號/終止連接埠號碼
      • 授與類型:位址區段訪問。
      • 授權對象:輸入想要內網互連的執行個體的內網 IP 位址,格式必須是 a.b.c.d/32。其中,子網路遮罩必須是 /32


方法 2. 加入同一安全性群組

  • 適用情境:如果您的應用架構比較簡單,可以為所有的執行個體選擇相同的安全性群組,綁定同一安全性群組的執行個體之間不用設定特殊規則,預設網路互連。
  • 優點:安全性群組規則清晰。
  • 缺點:僅適用於簡單的應用網路架構,網路架構調整時授權方法要隨之進行修改。
  • 設定方法:請參見加入、移出安全性群組

方法 3. 綁定互連安全性群組

  • 適用情境:為需要互連的執行個體增加綁定一個專門用於互連的安全性群組,適用於多層應用網路架構情境。
  • 優點:操作簡單,可以迅速建立執行個體間互連,可應用於複雜網路架構。
  • 缺點:執行個體需綁定多個安全性群組,安全性群組規則閱讀性較差。
  • 設定方法:
    1. 建立一個安全性群組並命名,例如:互連安全性群組,不需要給建立的安全性群組添加任何規則。
    2. 將需要互連的執行個體都添加綁定建立的互連安全性群組,利用同一安全性群組的執行個體之間預設互連的特性,達到內網執行個體互連的效果。

方法 4. 安全性群組互信授權

  • 適用情境:如果您的網路架構比較複雜,各執行個體上部署的應用都有不同的業務角色,您就可以選擇使用安全性群組互相授權方式。
  • 優點:安全性群組規則結構清晰、閱讀性強、可跨賬戶互連。
  • 缺點:安全性群組規則配置工作量較大。
  • 設定方法:
    1. 選擇需要建立互信的執行個體,進入本執行個體安全性群組
    2. 選擇需要配置安全性群組,單擊配置規則
    3. 單擊內網入方向,並單擊添加安全性群組規則
    4. 按以下描述添加安全性群組規則:
      • 授權策略:允許。
      • 協議類型:根據您的實際需要選擇協議類型。
      • 連接埠範圍:根據實際需求設定。
      • 授與類型:安全性群組訪問。
      • 授權對象
        • 如果您選擇本帳號授權:按照您的組網要求,將有內網互連需求的對端執行個體的安全性群組 ID 填入授權對象即可。
        • 如果您選擇跨帳號授權授權對象應填入對端執行個體的安全性群組 ID,帳號 ID是對端帳號 ID(可以在帳號管理 > 安全設定裡查到)。





建議

如果前期安全性群組授權過大,建議採用以下流程收緊授權範圍。



圖中的刪除0.0.0.0是指刪除原來的允許0.0.0.0/0 位址區段的安全性群組規則。

如果安全性群組規則變更操作不當,可能會導致您的執行個體間通訊受到影響,請在修改設定前備份您要操作的安全性群組規則,以便出現互連問題時及時恢複。

安全性群組映射了執行個體在整個應用架構中的角色,推薦按照應用架構規劃防火牆規則。例如:常見的三層 Web 應用程式架構就可以規劃三個安全性群組,將部署了相應應用或資料庫的執行個體綁定對應的安全性群組:

  • Web 層安全性群組:開放 80 連接埠。
  • APP 層安全性群組:開放 8080 連接埠。
  • DB 層安全性群組:開放 3306 連接埠。