前缀列表是一些网络前缀(即CIDR地址块)的集合,您可以在配置安全组规则时引用前缀列表。修改前缀列表的条目,等效于直接修改安全组规则,从而避免您维护仅授权对象不同的多条安全组规则,本文介绍使用前缀列表高效管理安全组规则。
应用场景
为了云上资源的安全,您为购买的云上资源划分了多个安全域,每个安全域对应一个安全组。您多个安全域中的资源,需要被另外一个公共资源(例如云下的办公网络)访问,这个公共资源的网络地址段数量众多,且会经常发生变动。
在不使用前缀列表的情况下,您需要在多个安全组中维护仅有授权对象不同的多条安全组规则。当授权公共资源的网络地址发生变动时,您需要对多个安全组进行规则调整,安全组和网络地址数量越多,管理的工作量越大。
使用前缀列表后,您可以将公共资源的若干网络地址放入前缀列表,并在配置安全组规则时将授权对象设置为该前缀列表。在网络地址发生变动时,您只需要修改前缀列表中的网络地址,即可等效于修改已关联安全组的访问控制规则,无需再关注每个安全组中的规则,降低管理复杂度,提高效率。
当您的云上资源分布在多个阿里云地域时,您可以使用前缀列表克隆功能,来将一个已有的前缀列表克隆到其他地域。
操作步骤
本步骤以修改放行2个IP为例,为您演示通过前缀列表指定允许远程连接实例的IP,并在初次设置完成后修改远程连接授权的整个操作流程。
访问ECS控制台-前缀列表。
在页面左侧顶部,选择目标资源所在的资源组和地域。
-
在前缀列表栏,单击创建前缀列表。
-
在创建前缀列表对话框中,设置前缀列表的参数,单击确定。
本文以包括2个IPv4条目为例,参数示例如下所示:
-
名称:RemoteAccess-IP
-
描述:允许该前缀列表中的IP访问安全组管理的ECS实例
-
地址族:IPv4
-
最大条目容量:2条
说明已关联资源(例如安全组)计算规则配额时,将使用最大条目容量计算,而非实际条目数,请合理设置。
-
前缀列表条目:单击添加条目,分别添加
192.168.1.0/24、192.168.2.0/24。由于采用了CIDR地址块的形式,上述条目实际对应了多个IP:
-
192.168.1.0/24:即192.168.1.0~192.168.1.255。 -
192.168.2.0/24:即192.168.2.0~192.168.2.255。
-
-
-
在安全组规则中使用前缀列表。
重复以下步骤为多个安全组添加安全组规则,将前缀列表RemoteAccess-IP作为访问来源。
访问ECS控制台-安全组。
-
找到目标安全组,在操作列单击配置规则。
-
在入方向页签中,单击添加规则。
-
设置安全组规则的参数,然后单击保存。
本文以允许访问安全组内实例上部署的服务为例,参数示例如下表所示:
-
授权策略:允许
-
优先级:1
-
协议类型:自定义 TCP
-
访问来源:选择前缀列表RemoteAccess-IP
添加该安全组规则后,安全组放行前缀列表中的IP。
-
-
修改前缀列表的条目。
如果在添加安全组规则后,您需要取消一些IP的远程连接授权,进一步缩小授权范围以降低风险,则无需逐一修改多个安全组的安全组规则,只需修改前缀列表RemoteAccess-IP的条目即可。例如,您使用私有IP为
192.168.1.1、192.168.2.1的实例作为跳板机,需要限制仅允许通过跳板机远程连接安全组内实例,则按以下步骤修改前缀列表的条目。访问ECS控制台-前缀列表。
-
在前缀列表栏,找到前缀列表RemoteAccess-IP,在操作列单击详情。
-
单击前缀列表条目页签。
-
找到前缀列表条目,在操作列单击修改。
-
设置CIDR地址块参数,然后单击保存。
修改2个已有条目,CIDR地址块参数分别设置为
192.168.1.1/32、192.168.2.1/32。修改前缀列表的条目后即时生效,使用前缀列表RemoteAccess-IP的安全组规则也随之变化,安全组仅放行
192.168.1.1/32、192.168.2.1/32远程连接安全组内实例。