通过安全组授权入网经典网络的安全组

本文涉及的产品
云服务器 ECS,每月免费额度280元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 安全组入网规则授权说明 如果有两个用户,用户A有一个安全组A1,另外一个安全组A2, 另外一个用户B有一个安全组B1,安全组A2和安全组B1的云服务器想要实现对安全组A中的云服务器进行网络访问,需要进行下面的设置。

安全组入网规则授权说明

如果有两个用户,用户A有一个安全组A1,另外一个安全组A2, 另外一个用户B有一个安全组B1,安全组A2和安全组B1的云服务器想要实现对安全组A中的云服务器进行网络访问,需要进行下面的设置。

访问经典网络user-A-sg-1安全组内资源的入网规则设置如下表所示,您可以通过控制台直接操作也可以调用OpenApi来实现.

设置 同一用户的安全组 user-A-sg-1的服务器 同一用户的安全组 user-A-sg-2的服务器 另一个用户B的安全组 user-B-sg-1 服务器
入方向访问 互通 不通 不通
入方向设置 不需要设置 1. 在user-A-sg-1的安全组内网入规则加一条规则, ["SourceGroupId": "user-A-sg-2", "IpProtocol": "tcp", "PortRange": "80/80"] 2. 在user-A-sg-1的安全组内网入规则加一条规则, ["SourceCidrIp": "IP地址/32", "IpProtocol": "tcp", "PortRange": "80/80"] 1. 在user-A-sg-1的安全组内网入规则加一条规则, ["SourceGroupId": "user-B-sg-1", "SourceGroupOwnerId": "user-B", "IpProtocol": "tcp", "PortRange": "80/80"] 2. 在user-A-sg-1的安全组内网入规则加一条规则, ["SourceCidrIp": "IP地址/32", "IpProtocol": "tcp", "PortRange": "80/80"]

安全组设置内网互通的方法

操作指引 参见 安全组设置内网互通的方法

将当前账号下的经典网络安全组通过安全组授权入网

如果之前已经在经典网络上设置了允许过大的入网网段访问,例如 0.0.0.0/0 或者 10.0.0.0/8。如果你没有授权其他的用户访问当前安全组内资源的计划,你可以选择添加其他的安全组作为入网的授权规则,逐个添加完其他的安全组之后测试您的应用,逐个删除之前过大的CIDR网段。

下面提供了一个脚本,它将会根据您的入参安全组ID,将本region内其他的有云服务器的安全组作为入网规则加入您的安全组之中。目前这个版本有如下限制, 附件中包含所有的代码。

  • 不支持VPC类型的安全组
  • 不支持已添加和即将添加的规则超过100条的场景
  • 您可以选择ignore一些安全组,不加入
  • 只支持单个region 50个安全组的场景
#  coding=utf-8

# if the python sdk is not install using 'sudo pip install aliyun-python-sdk-ecs'
# if the python sdk is install using 'sudo pip install --upgrade aliyun-python-sdk-ecs'
# make sure the sdk version is 2.1.2, you can use command 'pip show aliyun-python-sdk-ecs' to check

import json
import logging

from aliyunsdkcore import client
from aliyunsdkecs.request.v20140526.AuthorizeSecurityGroupRequest import \
    AuthorizeSecurityGroupRequest
from aliyunsdkecs.request.v20140526.DescribeSecurityGroupAttributeRequest import \
    DescribeSecurityGroupAttributeRequest
from aliyunsdkecs.request.v20140526.DescribeInstancesRequest import DescribeInstancesRequest


# configuration the log output formatter, if you want to save the output to file,
# append ",filename='ecs_invoke.log'" after datefmt.
from aliyunsdkecs.request.v20140526.DescribeSecurityGroupsRequest import \
    DescribeSecurityGroupsRequest

logging.basicConfig(level=logging.INFO,
                    format='%(asctime)s %(filename)s[line:%(lineno)d] %(levelname)s %(message)s',
                    datefmt='%a, %d %b %Y %H:%M:%S')

clt = client.AcsClient('Your Access Key Id', 'Your Access Key Secrect', 'cn-beijing')

TOTAL_COUNT = 'TotalCount'
# 需要开放的端口范围 协议为tcp、udp时默认端口号,取值范围为1~65535;例如“1/200”意思是端口号范围为1~200,若输入值为:“200/1”接口调用将报错。
# 协议为icmp时端口号范围值为-1/-1;
# gre协议时端口号范围值为-1/-1;
# 协议为all时端口号范围值为-1/-1
PORT_RANGE = '-1/-1'

# IP协议,取值:tcp | udp | icmp | gre | all;
# all表示同时支持四种协议
IP_PROTOCOL = 'all'

# 网络协议,这里只设置经典网络的安全组的内网规则
NIC_TYPE = 'intranet'

# 接受协议
POLICY = 'accept'

# 优先级 1-100, 1最高 100最容易被覆盖
PRIORITY = 10

# 经典网络的ID不需要添加到规则里面的接受规则里面的
SECURITY_GROUP_IDS_IGNORE_ADD = ['sg-ignore-1', 'sg-ignore-2', 'sg-ignore-3']

# 这个工具用来扫描您的经典网络安全组,并且将同一个Region下其它有ECS的经典网络的安全组ID添加到您的内网入规则中,
# 以实现您的一个region内的所有的ECS内网互通。目前这个脚本只支持单region下50个安全组。
# dry run 仅仅计算不执行
def add_security_group_rule(sg_id, priority=10, dry_run=True):
    request = DescribeSecurityGroupsRequest()
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    security_groups = response.get('SecurityGroups').get('SecurityGroup')
    if len(security_groups) == 0:
        logging.error("Current input security group id %s can not be found in current region",
                      sg_id)
    else:
        sg_detail = security_groups[0]
        if sg_detail is not None:
            vpc_id = sg_detail.get('VpcId')
            if vpc_id != '':
                logging.error(
                    "The tools is only for classical security group now, not support vpc security group %s.",
                    sg_id)
            else:
                current_permissions = query_sg_rules_for_sg(sg_id)
                logging.info(current_permissions)
                SECURITY_GROUP_IDS_IGNORE_ADD.append(sg_id)
                sg_ids = query_all_classical_security_group_include_instance(
                    SECURITY_GROUP_IDS_IGNORE_ADD)
                if len(current_permissions) + len(sg_ids) > 100:
                    logging.error(
                        "Current security group  %s already with too many rules, the max rules is 100 for all the ruels.",
                        sg_id)
                logging.info("it will add %s total in %d rules for security group %s.", sg_ids,
                             len(sg_ids), sg_id)
                if dry_run == False:
                    for sg_id_in in sg_ids:
                        execute_add_classical_intranat_ingress(sg_id, sg_id_in, priority, dry_run)


# 为经典网络的云服务器添加内网的入规则
def execute_add_classical_intranat_ingress(source_sg_id, in_sg_id, priority, dry_run):
    request = AuthorizeSecurityGroupRequest()
    request.set_SecurityGroupId(source_sg_id)
    request.set_IpProtocol(IP_PROTOCOL)
    request.set_Policy(POLICY)
    request.set_NicType(NIC_TYPE)
    request.set_Priority(priority)
    request.set_PortRange(PORT_RANGE)
    request.set_SourceGroupId(in_sg_id)
    if dry_run:
        logging.info("add sg id %s as the in security group id %s", in_sg_id, source_sg_id)
    else:
        response = _send_request(request)
        return response


# 查询当前的安全组下有多少条规则
def query_sg_rules_for_sg(security_group_id):
    request = DescribeSecurityGroupAttributeRequest()
    request.set_SecurityGroupId(security_group_id)
    response = _send_request(request)
    permissions = response.get('Permissions').get('Permission')
    total_count = len(permissions)
    logging.info("Current security group %s with rule %d", security_group_id, total_count)
    return permissions


# 过滤那些安全组有云服务器实例
def query_all_classical_security_group_include_instance(exclude_security_group_ids=[]):
    request = DescribeSecurityGroupsRequest()
    request.set_PageSize(50)
    response = _send_request(request)
    with_instance_sg_ids = []
    total_count = response.get(TOTAL_COUNT)
    if total_count > 100:
        logging.warning("you have more than 100 security group in current region....")
    security_groups = response.get('SecurityGroups').get('SecurityGroup')
    for security_group in security_groups:
        vpc_id = security_group.get('VpcId')
        sg_id = security_group.get('SecurityGroupId')
        if vpc_id == '':
            request = DescribeInstancesRequest()
            request.set_PageSize(1)
            request.set_SecurityGroupId(sg_id)
            list_instance_response = _send_request(request)
            sg_with_instance_count = list_instance_response.get(TOTAL_COUNT)
            if sg_with_instance_count > 0:
                with_instance_sg_ids.append(sg_id)
        else:
            logging.info("security group %s is vpc ", sg_id)
    return list(set(with_instance_sg_ids).difference(set(exclude_security_group_ids)))


# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action(request)
        logging.info(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        logging.error(e)


if __name__ == '__main__':
    logging.info("Hello!")
    # 实际运行中,请选择您的安全组Id,并将Dry_Run设置为False
    # 如果为VPC的安全组就会报错。
    add_security_group_rule('sg-add-rules', PRIORITY, True)
相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
7天前
|
云安全 机器学习/深度学习 安全
云端防御战线:云计算安全与网络防护策略
【2月更文挑战第30天】 在数字转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着云服务应用的普及,网络安全威胁也随之增加。本文将深入探讨云计算环境中面临的安全挑战,并剖析如何通过一系列先进的技术手段和策略来加强数据保护,确保信息资产的安全。我们将讨论包括加密技术、身份认证、入侵检测系统、安全事件管理等在内的多种安全措施,并分析这些措施如何协同工作以形成一个多层次的防御体系。
|
13天前
|
安全 网络协议 Unix
网络安全产品之认识安全隔离网闸
随着互联网的发展,网络攻击和病毒传播的方式越来越复杂,对网络安全的要求也越来越高。传统的防火墙设备在面对一些高级的网络攻击时,往往难以做到全面的防护,因此需要一种更加有效的网络安全设备来提高网络的安全性。此外,随着信息技术的不断发展,各个行业对信息系统的依赖程度也越来越高,一旦信息系统遭受攻击或入侵,可能会导致数据泄露、系统瘫痪等严重后果。因此,对于一些高安全级别的网络环境,如政府、军队、公安、银行等,需要一种更加可靠的安全设备来保证网络的安全性。在这样的背景下,安全隔离网闸作为一种新型的网络安全设备应运而生。本文让我们一起来认识安全隔离网闸。
24 0
|
6天前
|
存储 安全 网络安全
构筑安全堡垒:云计算环境下的网络安全与防护策略
【2月更文挑战第31天】 在信息技术迅猛发展的当代,云计算以其高效、灵活和成本优化的特点成为企业数字化转型的重要支撑。然而,随着云服务的广泛应用,数据的安全与隐私保护问题也日益凸显。本文将深入探讨在复杂多变的云计算环境中,如何通过创新技术和策略加强网络安全防护,确保信息安全。我们将分析当前云计算服务中存在的安全威胁,探讨加密技术、身份认证、访问控制以及入侵检测等关键技术的应用,并提出一个多层次、综合性的安全防护框架,以助力企业在享受云计算便利的同时,有效防范安全风险。
|
2月前
|
开发框架 安全 .NET
【网络安全】搭建安全及拓展
【网络安全】搭建安全及拓展
51 0
|
2月前
|
安全 网络虚拟化 云计算
阿里云转发路由器Transit Router:构建云上高效、灵活且安全的网络架构之利器
本评测报告围绕阿里云转发路由器Transit Router(TR)在跨地域跨VPC网络互通、企业云上网络架构规划和第三方SD-WAN设备对接三个场景的表现进行了详细评估。评测结果显示,TR凭借强大的路由控制能力和灵活的互通策略,在云上构建高效、灵活且安全的网络架构方面表现出色。同时,TR与第三方SD-WAN设备的良好兼容性也为企业提供了更多组网选择。本报告旨在为企业在云上网络架构规划和部署过程中提供参考和指导。
|
6天前
|
存储 安全 网络安全
云计算与网络安全:构建数字化安全堡垒
在当今数字化时代,云计算技术的快速发展为企业提供了更便捷高效的信息化解决方案,然而,随之而来的网络安全隐患也备受关注。本文将探讨云计算与网络安全的紧密关系,分析云服务、网络安全、信息安全等技术领域的发展现状,以及如何通过有效的策略和技术手段构建数字化安全堡垒,确保信息安全与数据隐私。
8 1
|
3月前
|
云安全 安全 大数据
华为增强版专线卫士高性能真安全,守护甘肃兰投集团网络安全,保障专线体验品质
甘肃移动政企团队协同华为乾坤云安全团队进行现网出入流量检查和分析,通过华为乾坤云平台直观的攻击源信息显示和高级情报分析,发现兰投集团OA办公系统存在wpsAssistServlet任意文件上传漏洞,由于兰投致远OA某些接口能被未授权访问,且安全防护存在不足,攻击者可以通过构造恶意请求,可在未授权的情况下上传恶意脚本文件,导致服务器或其他核心信息资产存在安全隐患。
|
7天前
|
存储 安全 网络安全
构筑安全堡垒:云计算环境中的网络安全与信息保护策略
【2月更文挑战第30天】 在数字化浪潮推动下,云计算以其弹性、可扩展和按需付费的特性成为企业IT架构的核心。然而,随之而来的是日益复杂的安全威胁,它们不断试探和突破云环境的边界防御。本文深入探讨了云计算服务模型中的固有安全挑战,并提出了综合性的网络安全防护措施和信息保护策略。通过对加密技术、身份认证机制、入侵检测系统以及合规性监管等关键技术的详细分析,我们构建了一个多层次、全方位的安全框架,旨在为云计算环境提供坚固的安全保障。
|
8天前
|
安全 Linux 网络安全
Qt SSL/TLS 安全通信类:构建安全网络应用的关键组件
Qt SSL/TLS 安全通信类:构建安全网络应用的关键组件
53 0

相关产品

  • 云服务器 ECS
  • 轻量应用服务器
  • 弹性容器实例