私有网络VPC

    安全组配置实践(进阶篇)

    简介

    基于安全组配置实践(入门篇),了解到百度智能云安全组通过设置白名单,实现有状态防火墙,帮助云服务器达到更好访问管理与控制。本文作为进阶篇,深层次介绍安全组的批量操作,和安全组规则被引用功能,实现对大批量云资源更方便、更高效的统一管理与配置。

    场景一

    为了增加安全性,用户不仅需要对云服务设置精细的访问控制,还需要对业务系统搭配不同的安全策略,满足多个云服务器批量操作安全策略的场景,最终实现灵活的网络访问控制。

    示例场景

    如下所示,分层业务架构中具备三组集群云服务器,每个集群设置不同的安全组策略,集群内的云服务需要同时配置安全组。

    操作步骤

    Cluster1:云服务器A和B需要同时配置安全组策略(策略1、策略2、策略3)。

    至此,实现多个安全组批量应用到多个云服务器的功能。

    场景二

    基于场景一系统中Cluster1内网互通,Cluster2内部互通、Cluster3内部互通,Cluster1、2、3之间内网隔离(不互通)。提出场景二的要求:云服务器A、B、C、D、E、F通过各自的EIP,实现公网访问互通。

    通过在多个安全组中,逐条设置各个服务器的内网IP地址,可以实现集群内网互通、集群之间隔离,但是当集群Cluster中经常增减服务器时,更新安全组配置非常复杂也容易配置错误,所以使用安全组作为规则被引用的功能很好解决这个问题。

    操作步骤

    1. 创建Cluster1安全组,应用到A、B云服务器上,然后修改Cluster 1的规则,入方向和出方向关闭所有策略后,各增加一条规则引用安全组Cluster1本身。

    2. 按照步骤1同样配置安全组Cluster2和Cluster3策略,分别应用到C、D和E、F上然后出方向策略引用安全组Cluster2和Cluster3本身。
    3. 通过上述步骤,Cluster1、2、3实现集群内部内网互通,集群之间内网不同,同时公网之间不通。
    4. 为了实现公网互通,需要再创建一个安全组,可以命名为“公网互通”,入方向和出方向均关闭所有策略后,均允许A、B、C、D、E、F的公网EIP。

    5. 将安全组“公网互通”应用到A、B、C、D、E、F云服务器。

      至此,实现了Cluster1、2、3集群内,内网互通、集群之间内网不通,但可以通过公网互相访问。

    上一篇
    安全组配置实践(入门篇)
    下一篇
    NAT网关最佳实践