云服务器ECS安全组实践(二)

本文涉及的产品
云服务器 ECS,每月免费额度280元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 云服务器ECS安全组实践(一)中我们简单介绍了安全组的一些规则和约束和实践,在创建一台云服务的时候,它作为几个必选参数之一,可见它的重要性。本文将继续安全组的介绍,本篇涉及到下面的几个内容: 授权和撤销安全组规则 加入安全组和离开安全组 阿里云的网络类型分为经典网络和VPC,他们对安全组支持不同的设置规则。

云服务器ECS安全组实践(一)中我们简单介绍了安全组的一些规则和约束和实践,在创建一台云服务的时候,它作为几个必选参数之一,可见它的重要性。本文将继续安全组的介绍,本篇涉及到下面的几个内容:

阿里云的网络类型分为经典网络和VPC,他们对安全组支持不同的设置规则。对于经典网络你可以设置下面的几个规则: 内网入方向、内网出方向、公网入方向、公网出方向。对于VPC网络可以设置: 内网入方向、内网出方向。

在开始本篇之前描述几个安全组内网通讯的概念:

  • 默认情况下只有同一个安全组的机器可以网络互通,即便同一个用户的两个安全组的机器内网网络也不通。这个对于经典网络和VPC网络都适用。所以经典网络的云服务器也是内网安全的。
  • 如果您的非同一个安全组的两台云服务网络内网可以互通而这又不符合您的预期,请检查您的安全组内网规则设置。如果内网协议存在下面的协议,建议您重新设置。如果是经典网络这样会导致您的内网暴漏给其它的访问。

    • 允许所有端口
    • 授权对象为CIDR网段 (SourceCidrIp): 0.0.0.0/0 或者 10.0.0.0/8的规则
  • 如果资源创建在不同的安全组内,想实现网络互通就需要通过安全组进行授权。对于内网访问,我们建议您使用源安全组授权不要使用CIDR网段。

安全规则主要是描述不同的访问权限,主要有下面的属性:

  • Policy: 授权策略 accept or drop
  • Priority: 优先级根据创建的时间降序排序匹配。规则优先级可选范围为1-100,默认值为1,即最高优先级。数字越大,代表优先级越低。
  • NicType:当对安全组进行相互授权时(即指定了SourceGroupId且没有指定SourceCidrIp),必须指定NicType为intranet。
  • 规则描述,通过安全组授权,NicType只能选择intranet,和通过CIDR授权只能二选一

    • SourceGroupId: 通过安全组,默认对SourceCidrIp授权
    • IpProtocol: tcp | udp | icmp | gre | all
    • PortRange: 例如 80/80
    • SourceGroupOwnerAccount 非可选,仅为跨帐号授权的时候
  • 通过CIDR授权规则:

    • SourceCidrIp: CIDR的网段
    • IpProtocol: tcp | udp | icmp | gre | all
    • PortRange: 例如 80/80
    • SourceGroupOwnerAccount 非可选,仅为跨帐号授权的时候

授权一条入网请求规则

当在控制台或者API创建一个安全组,是不存在任何的安全规则,意味着默认情况下您的入网请求全部是拒绝的。所以您要适度的配置您的入网规则。

如果需要开启公网的80端口对外提供HTTP服务,由于公网访问,我们期望的是入网尽可能多访问,所以在IP网段上不做限制,设置为 0.0.0.0/0。可以参考下面的属性,括号外为控制台参数,括号内为OpenApi参数,两者相同就不做区分。

  • 网卡类型(NicType):公网(internet)如果是VPC类型的只需要填写intranet, 通过EIP实现
  • 授权策略(Policy):允许(accept)
  • 规则方向(NicType):入网
  • 协议类型(IpProtocol):TCP(tcp)
  • 端口范围(PortRange):80/80
  • 授权对象(SourceCidrIp): 0.0.0.0/0
  • 优先级(Priority): 1

上面的建议仅对公网有效,内网请求严格不建议使用CIDR网段,请参加下文

禁止一个入网请求规则

禁止一条规则就比较简单。只需要配置一条拒绝策略,但是同时设置较低的优先级即可,这样当需要的时候您可以通过配置其它的高优先级的规则覆盖这条规则即可。例如下面就设置了拒绝6379端口被访问。

  • 网卡类型(NicType):内网(intranet)
  • 授权策略(Policy):拒绝(drop)
  • 规则方向(NicType):入网
  • 协议类型(IpProtocol):TCP(tcp)
  • 端口范围(PortRange):6379/6379
  • 授权对象(SourceCidrIp): 0.0.0.0/0
  • 优先级(Priority): 100

经典网络的内网安全组规则不要使用CIDR或者IP授权

对于经典网络的服务器,阿里云默认不开启任何内网的入规则。内网的授权一定要谨慎。为了安全考虑,非常不建议开启任何基于CIDR网段的授权,对于弹性计算来说内网的IP经常变化的,其次这个IP的网段是没有规律的,所以对于经典网络的内网我们只建议您通过安全组授权内网的访问。

例如您在安全组 sg-redis上构建了一个redis的集群,为了只允许特定的机器访问这个redis的服务器编组,例如 sg-web,您不需要配置任何的CIDR,只需要添加一条入规则即可,指定相关的安全组id即可。

  • 网卡类型(NicType):内网(intranet)
  • 授权策略(Policy):允许(accept)
  • 规则方向(NicType):入网
  • 协议类型(IpProtocol):TCP(tcp)
  • 端口范围(PortRange):6379/6379
  • 授权对象(SourceGroupId): sg-web
  • 优先级(Priority): 1

对于VPC类型的如果您已经通过多个VSwitch规划好了自己IP范围设置,您可以通过CIDR设置,但是如果您的VPC网段不够清晰的话也建议优先考虑使用安全组作为入规则。

将需要互相通信的云服务器加入同一个安全组

在上一篇中我们提到,一个云服务器最多可以属于5个安全组。还有一条原则是同一安全组之间的云服务器是网络互通的,如果您在规划的时候已经有多个安全组,而直接设置多个安全规则过于复杂的话,您可以选择需要内网通信的机器,将它们加入同一个安全组即可。

安全组是区分网络类型的,对于一个经典类型的云服务器只可以选择加入经典网络的安全组,对于VPC类型的云服务器只可以加入本VPC的安全组。

这里也不建议您将所有的云服务器都加入一个安全组,将会使得您的安全组规则设置变成梦魇。对于一个中大型应用来说,每个服务器编组的角色不同,要合理的规划自己的入方向请求和出方向请求是非常有必要的。

加入一个安全组非常简单,您可以在控制台选择一个云服务器,然后点击更多->选择安全组管理即可,或者选择实例详情,进入本实例安全组查看进行操作。

如果您对阿里云的OpenApi非常熟悉,您可以参考使用OpenApi弹性管理云服务器ECS,您可以通过OpenApi方便的进行批量操作, 对应的python片段如下:

def join_sg(sg_id, instance_id):
    request = JoinSecurityGroupRequest()
    request.set_InstanceId(instance_id)
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    return response

# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action(request)
        logging.info(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        logging.error(e)

将云服务器移除安全组

如果云服务器加入不合适的安全组,将会导致暴漏或者Block您的服务,这个时候你可以选择将服务器从这个安全组中移除。由于云服务器必须属于一个安全组,您需要另外一个安全组。

加入一个安全组非常简单,您可以在控制台选择一个云服务器,然后更多->选择安全组管理即可,或者选择实例详情,进入本实例安全组查看进行操作。

将云服务器从安全组移出,将会导致这个云服务器和当前安全组内的网络不通,建议您做好充分的测试。

对应的python片段如下

def leave_sg(sg_id, instance_id):
    request = LeaveSecurityGroupRequest()
    request.set_InstanceId(instance_id)
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    return response

# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action(request)
        logging.info(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        logging.error(e)

定义合理的安全组名称和TAG

合理的安全组名称和描述非常有助于您快速的识别当前的复杂的规则的组合含义。所以您可以在通过修改名称和描述来,同时安全组也支持TAG标签来设置。您可以通过TAG来分组管理自己的安全组。您可以在控制台直接设置,或者通过API来设置TAG

删除不需要的安全组

我们提到,安全组中的安全规则类似于一条条的白名单和黑名单。对于不需要的安全组请不要保留,以免错误的加入某个云服务器而造成不必要的麻烦。

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
8天前
|
SQL 弹性计算 安全
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,有的用户还需要购买并挂载数据盘到云服务器上,很多新手用户由于是初次使用阿里云服务器,因此并不知道这些设置的操作流程,下面给大家介绍下这些设置的具体操作流程。
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
|
9天前
|
弹性计算
阿里云3M带宽云服务器并发多大?阿里云3M带宽云服务器测评参考
在探讨云服务器3M带宽能支持多大并发这一问题时,我们首先要明白一个关键点:并发量并非仅由带宽决定,还与网站本身的大小密切相关。一般来说,一个优化良好的普通网站页面大小可能只有几K,为便于计算,我们可以暂且假定每个页面大小为50K。
420 0
|
16天前
|
存储 弹性计算 缓存
阿里云服务器价格表参考,不同实例规格云服务器月付及年付活动价格(2024更新)
阿里云租服务器一年多少钱?不同时期阿里云服务器的租用价格不同,进入2024年,阿里云继续推出各种云服务器优惠政策,轻量应用服务器2核2G 61元1年,2核4G 165元1年;云服务器2核2G3M只要99元1年,2核4G5M只要199元1年;4核16G月付只要26.52元1个月。本文为大家整理汇总了目前阿里云的活动中,所有云服务器的月付及年付价格情况,以表格形式展示给大家,以供参考。
阿里云服务器价格表参考,不同实例规格云服务器月付及年付活动价格(2024更新)
|
3天前
|
存储 弹性计算 Serverless
什么是阿里云FPGA云服务器?FPGA云服务器产品优势及应用场景介绍
FPGA云服务器是阿里云提供的实例规格,融合现场可编程门阵列的低延迟硬件加速与弹性资源。FaaS平台简化了FPGA开发,提供统一硬件、开发环境和丰富的IP生态。特性包括硬件虚拟化、联合仿真和动态互联配置。产品计费与ECS一致,支持多种计费模式。优势在于分钟级交付、高性能加速、经济性价比和设计复用。应用广泛,如视频转码、人工智能、基因测序等。FPGA云服务器通过FPGA镜像、OSS服务等工具进行管理。
什么是阿里云FPGA云服务器?FPGA云服务器产品优势及应用场景介绍
|
9天前
|
弹性计算 小程序 开发者
阿里云服务器性能测评:25M带宽阿里云云服务器支持多少人访问?
在深入探讨25M带宽云服务器的性能时,我们首先要明确一个核心概念:带宽与服务器能够支持的同时访问量之间存在着直接的关联。那么,大家可能会好奇,带宽为25M的云服务器究竟能够支持多少用户同时访问呢?
49 0
|
9天前
|
弹性计算 文件存储 数据库
阿里云8M带宽云服务器承载量多大?阿里云8M带宽云服务器评测
在当今的云计算时代,云服务器已成为企业和个人用户的首选。其中,带宽作为衡量云服务器性能的重要指标之一,经常被人们提及。那么,一个拥有8M带宽的云服务器到底能承受多少承载量呢? 我们以常见的网站应用为例来探究这个问题。假设经过优化后的网页平均大小为60KB,8M带宽即意味着每秒能传输8*1024KB的数据。简单计算可知,8M带宽的云服务器在1秒内可以传输大约136个这样的网页。但是,这并不意味着它能同时支持136个用户访问,因为还需要考虑用户访问的并发性。
86 1
|
9天前
|
弹性计算 安全 云计算
传统物理服务器和阿里云云服务器的区别对比
随着云计算技术的持续演进与成熟,云服务器正在逐步成为企业运营与个人项目发展的基石。那么,相较于传统的物理服务器,云服务器究竟有哪些独特之处?到了2024年,这两者之间的区别又体现在哪些关键领域呢?首先,我们深入了解云服务器的核心特性。云服务器,作为云计算技术的产物,其实质是一种虚拟化的服务器。它拥有极高的灵活性和可扩展性。无论是内存、CPU、存储空间还是网络带宽,都可以根据实际需求进行动态调整。当业务高峰来临,云服务器能够迅速增加计算资源,确保服务的连续性与稳定性;而在业务需求降低时,又能够自动释放多余的资源,从而为用户节省成本。反观物理服务器,它作为一套独立的硬件设备,其配置往往是固定的
22 1
|
9天前
|
域名解析 弹性计算 数据可视化
如何使用云服务器ECS搭建网站?阿里云云服务器ECS部署网站新手教程
本文介绍了在阿里云ECS上自助建站的流程。建站方式包括自助建站、模板建站和定制建站,适合个人或小企业用户。建站步骤涉及准备服务器、配置安全组规则、部署网站、购买和备案域名以及解析域名。此外,文章还提及了产品计费和常见问题,提供相关服务如架构设计、迁云服务和基础设置服务等。
299 0
|
16天前
|
弹性计算 算法 应用服务中间件
倚天使用|Nginx性能高27%,性价比1.5倍,基于阿里云倚天ECS的Web server实践
倚天710构建的ECS产品,基于云原生独立物理核、大cache,结合CIPU新架构,倚天ECS在Nginx场景下,具备强大的性能优势。相对典型x86,Http长连接场景性能收益27%,开启gzip压缩时性能收益达到74%。 同时阿里云G8y实例售价比G7实例低23%,是Web Server最佳选择。
|
16天前
|
弹性计算 NoSQL 测试技术
倚天使用|Redis性能高30%,阿里云倚天ECS性能摸底和迁移实践
Redis在倚天ECS环境下与同规格的基于 x86 的 ECS 实例相比,Redis 部署在基于 Yitian 710 的 ECS 上可获得高达 30% 的吞吐量优势。成本方面基于倚天710的G8y实例售价比G7实例低23%,总性价比提高50%;按照相同算法,相对G8a,性价比为1.4倍左右。

相关产品

  • 云服务器 ECS