安全组是一种虚拟防火墙,具备状态检测和包过滤功能。安全组由同一个地域内具有相同安全保护需求并相互信任的实例组成。为了满足同安全组内实例之间网络隔离的需求,阿里云丰富了安全组网络连通策略,支持安全组内实现网络隔离。

安全组内的网络隔离规则

  • 安全组内网络隔离是网卡之间的隔离,而不是ECS实例之间的隔离。若实例上绑定了多张弹性网卡,需要在每个网卡上设置安全组隔离规则。

  • 不会改变默认的网络连通策略。

    安全组内网络隔离是一种自定义的网络连通策略,对于默认安全组和新建的安全组无效。安全组默认的网络连通策略是:同一安全组内的实例之间私网互通,不同安全组的实例之间默认私网不通。

  • 安全组内网络隔离的优先级最低。

    设置了组内网络隔离的安全组,仅在安全组内没有任何自定义规则的情况下保证安全组内实例之间网络隔离。以下情况设置了组内网络隔离但实例仍然互通:
    • 安全组内既设置了组内隔离,又设置了让组内实例之间可以互相访问的ACL。

    • 安全组内既设置了组内隔离,又设置了组内互通。

  • 网络隔离只对当前安全组内的实例有效。

修改策略

您可以使用ModifySecurityGroupPolic接口来修改安全组内的网络连通策略。

案例分析

实例和实例所属的安全组的关系如下:

本示例中,Group1、Group2、Group3分别为3个不同的安全组,ECS1、ECS2、ECS3分别为3个不同的ECS实例。ECS1和ECS2同属安全组Group1和Group2,ECS2和ECS3同属安全组Group3。

3个安全组内的网络连通策略设置如下:
安全组 内网连通策略 包含的实例
Group1 隔离 ECS1、ECS2
Group2 互通 ECS1、ECS2
Group3 互通 ECS2、ECS3
各实例间的网络连通情况如下:
实例 网络互通/隔离 原因
ECS1和ECS2 互通 ECS1、ECS2同时属于Group1和Group2。Group1的策略是隔离,Group2的策略是互通,由于网络隔离的优先级最低,所以ECS1和ECS2互通。
ECS2和ECS3 互通 ECS2和ECS3同时属于Group3。Group3的策略是互通,所以ECS2和ECS3互通。
ECS1和ECS3 隔离 ECS1和ECS3分属不同的安全组,不同安全组的实例之间默认网络不通。如果两个安全组之间需要互相访问,可以通过安全组规则授权。