在专有网络VPC中,同一VPC内不同安全组的ECS实例默认内网隔离。如果您需要实现这些实例之间的内网互通,以满足搭建内部网站或应用服务、部署数据库集群或应用系统等业务场景下的需求,可以通过设置安全组规则来实现。本文介绍四种实现不同安全组实例内网互通的方案。
前提条件
需要互通的ECS实例属于同一VPC。如果实例分布在不同VPC,请先通过云企业网或VPC对等连接打通网络,然后再配置安全组规则。
方案二和方案三依赖普通安全组的组内默认互通特性。如果您使用的是企业级安全组(默认组内隔离),请使用方案一或方案四。
方案一:使用单IP地址授权
适用场景
适用于同一VPC内少量ECS实例之间需要内网互通的场景。
优势与不足
优势:以IP地址方式授权,安全组规则清晰,易于理解。
不足:当需要实现内网互通的实例数量较多时,会受到安全组规则条数200条的限制,并且后期维护工作量较大。
操作步骤
找到需要互通的实例,单击实例ID。
在实例详情页,单击安全组页签。
找到需要配置的安全组,单击操作列下的配置规则。
单击入方向页签。
单击手动添加,然后按以下描述添加安全组规则。
授权策略:允许。
优先级:按需设置,默认为1。
协议类型:按需选择协议类型。
端口范围:按需设置端口范围。
访问来源:输入想要内网互通的实例的私网IP地址,格式为a.b.c.d/32。如果需要授权一个网段内的所有实例,可以使用CIDR格式,例如192.168.1.0/24。
单击保存完成规则添加。
方案二:加入同一安全组
适用场景
如果您的应用架构比较简单,可以为所有的ECS实例选择相同的普通安全组。
同一个普通安全组内的实例无需配置特殊规则,它们默认具有网络互通能力。企业级安全组不支持组内默认互通,如果您使用企业级安全组,请选择方案一或方案四。
优势与不足
优势:安全组规则清晰明了,易于查看。
不足:仅适用于简单的应用网络架构,网络架构调整时授权方法要随之进行修改。
操作步骤
具体操作,请参见为实例(主网卡)关联安全组。
方案三:绑定互通安全组
适用场景
为需要内网互通的实例额外绑定一个专门用于互通的普通安全组,适用于多层应用网络架构场景。
优势与不足
优势:操作简单,可以迅速建立实例内网互通,可应用于复杂网络架构。
不足:实例需要额外绑定多个安全组,安全组规则的阅读性较差。
操作步骤
在同一VPC内新创建一个普通安全组,例如:互通安全组,无需给新建的安全组添加任何规则。具体操作,请参见创建安全组。
将需要互通的实例都额外绑定到新创建的互通安全组中。通过利用同一普通安全组内实例默认互通的特性,即可实现实例内网互通。具体操作,请参见为实例(主网卡)关联安全组。
方案四: 安全组互信授权
适用场景
在需要内网互通实例的安全组规则内互相授权安全组ID,适用于多层应用网络架构场景。
优势与不足
优势:操作简单,可以迅速建立实例内网互通,可应用于复杂网络架构。
不足:实例需要加入多个安全组,安全组规则的阅读性较差。
操作步骤
找到需要互通的实例,单击实例ID。
在实例详情页,单击安全组页签。
找到需要配置的安全组,单击操作列下的配置规则。
单击入方向页签。
单击手动添加,然后按以下描述添加安全组规则。
授权策略:允许。
优先级:按需设置,默认为1。
协议类型:按需选择协议类型。
端口范围:按需设置端口范围。
授权对象:
本账号授权:输入目标安全组ID。
跨账号授权:输入目标账号ID和安全组ID,格式为账号ID/安全组ID。
单击保存完成规则添加。