安全性群組是一種虛擬防火牆,具備狀態檢測和包過濾功能。安全性群組由同一個地區內具有相同安全保護需求並相互信任的執行個體組成。為了滿足同安全性群組內執行個體之間網路隔離的需求,阿里雲豐富了安全性群組網路連通策略,支援安全性群組內實現網路隔離。

安全性群組內的網路隔離規則

  • 安全性群組內網路隔離是網卡之間的隔離,而不是ECS執行個體之間的隔離。若執行個體上綁定了多張彈性網卡,需要在每個網卡上設定安全性群組隔離規則。

  • 不會改變預設的網路連通策略。

    安全性群組內網路隔離是一種自訂的網路連通策略,對於預設安全性群組和建立的安全性群組無效。安全性群組預設的網路連通策略是:同一安全性群組內的執行個體之間私網互連,不同安全性群組的執行個體之間預設私網不通。

  • 安全性群組內網路隔離的優先順序最低。

    設定了組內網路隔離的安全性群組,僅在安全性群組內沒有任何自訂規則的情況下保證安全性群組內執行個體之間網路隔離。以下情況設定了組內網路隔離但執行個體仍然互連:
    • 安全性群組內既設定了組內隔離,又設定了讓組內執行個體之間可以互相訪問的ACL。

    • 安全性群組內既設定了組內隔離,又設定了組內互連。

  • 網路隔離只對當前安全性群組內的執行個體有效。

修改策略

您可以使用ModifySecurityGroupPolicy介面來修改安全性群組內的網路連通策略。

案例分析

執行個體和執行個體所屬的安全性群組的關係如下:

本樣本中,Group1、Group2、Group3分別為3個不同的安全性群組,ECS1、ECS2、ECS3分別為3個不同的ECS執行個體。ECS1和ECS2同屬安全性群組Group1和Group2,ECS2和ECS3同屬安全性群組Group3。

3個安全性群組內的網路連通原則設定如下:
安全性群組 內網連通策略 包含的執行個體
Group1 隔離 ECS1、ECS2
Group2 互連 ECS1、ECS2
Group3 互連 ECS2、ECS3
各執行個體間的網路連通情況如下:
執行個體 網路互連/隔離 原因
ECS1和ECS2 互連 ECS1、ECS2同時屬於Group1和Group2。Group1的策略是隔離,Group2的策略是互連,由於網路隔離的優先順序最低,所以ECS1和ECS2互連。
ECS2和ECS3 互連 ECS2和ECS3同時屬於Group3。Group3的策略是互連,所以ECS2和ECS3互連。
ECS1和ECS3 隔離 ECS1和ECS3分屬不同的安全性群組,不同安全性群組的執行個體之間預設網路不通。如果兩個安全性群組之間需要互相訪問,可以通過安全性群組規則授權。