热门标签
热门文章
- 1ACl访问控制实验
- 2高等数学(无穷小与无穷大)
- 3Hadoop运行模式(五)、编写Hadoop集群常用脚本、Hadoop集群启停脚本、常用端口号说明、集群时间同步、时间服务器配置、其他机器配置_hadoop集群同步脚本
- 4AI绘画|Stable diffusion 4.8.7升级版来了!大尺度模型..._stable diffusion4.8.7
- 52023华为OD 面试手撕代码真题【实现备忘录系统】_华为od面试手撕代码
- 6ES的开发手册_es开发文档
- 7强化学习与自然语言处理的融合:实现人类级别的AI
- 8Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全_ctfshow web361
- 9MongoDB创建和管理索引_mongodb创建文本索引
- 102846. 边权重均等查询
当前位置: article > 正文
实现安全组内网络隔离_组内连通策略 组内互通
作者:你好赵伟 | 2024-07-30 22:38:37
赞
踩
组内连通策略 组内互通
背景介绍
安全组默认的网络连通策略是:同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。这个策略满足了绝大多数客户的需求,但也有少数客户希望能够改变安全组网络连通策略,同一个安全组内的网络是隔离的而不是互通的,这样可以大大减少安全组的数量进而降低维护和管理安全组的成本。基于这些客户的诉求,我们丰富了安全组网络连通策略,支持安全组内网络隔离。要使用此功能,您需要首先了解安全组内网络隔离的一些细节:
安全组内网络隔离的几点说明
- 隔离的粒度是网卡而不是ECS实例 如果ECS实例挂载了多块网卡,这一点需要特别注意。
- 不会改变默认的网络连通策略 安全组**默认的**网络连通策略仍然是同一安全组内的实例之间网络**互通**,不同安全组的实例之间默认内网不通。新的功能只是为您提供了一种手段来修改网络连通策略,因此新功能不会对您既有安全组或者对您新建的安全组造成任何影响。
- 隔离优先的原则
- 被设置为组内“隔离”的安全组,优先级要高于“互通”的安全组,所以如果有两个实例属于被设置为“隔离”的安全组,那么这两个实例间网络一定不可达,不管是否它们还同时属于“互通”的安全组。
- 被设置为组内“隔离”的安全组,优先级要高于用户定义的所有ACL,所以被隔离的安全组,组内实例间网络一定不可达,即使增加允许访问的ACL也不起作用。
- 网络隔离只限于当前组内的实例(网卡) 假设当前安全组是G1,组内网络设置为“隔离”,vm1和vm2属于G1,vm2和vm3属于G2,G2的组内网络互通,那么vm1和vm2网络不可达,但vm2和vm3之间网络可达。
为了更好的理解安全组内网络格力的约束和限制,下面以一个典型的例子加以说明(出于便于表达的目的,都假设一个实例只有一块网卡,因此网卡隔离就等价于实例隔离),实例和实例所属的安全组的关系如下图:
安全组内网络连通策略如下:
| 安全组 | 内网连通策略 | 包含的实例 |
|---|---|---|
| G1 | 隔离 | Vm1,Vm2 |
| G2 | 互通 | Vm1,Vm2 |
| G3 | 互通 | Vm2,Vm3 |
这个例子中各实例间网络连通情况如下表:
| 实例间网络 | 互通/隔离 | 原因 |
|---|---|---|
| Vm1-Vm2 | 隔离 | Vm1,Vm2同时属于G1和G2,G1的策略是“隔离”,G2的策略是“互通”,基于“隔离”优先的原则,Vm1到Vm2之间不可通信 |
| Vm2-Vm3 | 互通 | Vm2和Vm3同时属于G3,而且G3的策略是“互通”,所以Vm2和Vm3默认可以通信 |
| Vm1-Vm3 | 隔离 | Vm1和Vm3分属不同的安全组,按照默认的网络连通策略,不同安全组的实例之间默认内网不通 |
修改安全组内网络连通策略API
关于此功能的API细节,请参考ModifySecurityGroupPolicy
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/905666
推荐阅读
相关标签
