安全组配置实践(进阶篇)
概览
基于安全组配置实践(入门篇),了解到百度智能云安全组通过设置白名单,实现有状态防火墙,帮助云服务器达到更好访问管理与控制。本文作为进阶篇,深层次介绍安全组的批量操作,和安全组规则被引用功能,实现对大批量云资源更方便、更高效的统一管理与配置。
需求场景
需求场景1:安全组批量应用到多个云服务器
为了增加安全性,用户不仅需要对云服务设置精细的访问控制,还需要对业务系统搭配不同的安全策略,满足多个云服务器批量操作安全策略的场景,最终实现灵活的网络访问控制。
示例场景
如下图所示,分层业务架构中具备三组集群云服务器,每个集群设置不同的安全组策略,集群内的云服务需要同时配置安全组。
操作步骤
Cluster1:云服务器A和B需要同时配置安全组策略(策略1、策略2、策略3)。
至此,实现多个安全组批量应用到多个云服务器的功能。
需求场景2:安全组作为规则被引用
基于场景一系统中Cluster1内网互通,Cluster2内部互通、Cluster3内部互通,Cluster1、2、3之间内网隔离(不互通)。提出场景二的要求:云服务器A、B、C、D、E、F通过各自的EIP,实现公网访问互通。
通过在多个安全组中,逐条设置各个服务器的内网IP地址,可以实现集群内网互通、集群之间隔离,但是当集群Cluster中经常增减服务器时,更新安全组配置非常复杂也容易配置错误,所以使用安全组作为规则被引用的功能很好解决这个问题。
操作步骤
-
创建Cluster1安全组,应用到A、B云服务器上,然后修改Cluster 1的规则,入方向和出方向关闭所有策略后,各增加一条规则引用安全组Cluster1本身。
- 按照步骤1同样配置安全组Cluster2和Cluster3策略,分别应用到C、D和E、F上然后出方向策略引用安全组Cluster2和Cluster3本身。
- 通过上述步骤,Cluster1、2、3实现集群内部内网互通,集群之间内网不同,同时公网之间不通。
-
为了实现公网互通,需要再创建一个安全组,可以命名为“公网互通”,入方向和出方向均关闭所有策略后,均允许A、B、C、D、E、F的公网EIP。
-
将安全组“公网互通”应用到A、B、C、D、E、F云服务器。
至此,实现了Cluster1、2、3集群内,内网互通、集群之间内网不通,但可以通过公网互相访问。
相关产品
云服务器、专属服务器、百度太行·弹性裸金属服务器、负载均衡、私有网络、服务网卡、云数据库 RDS for MySQL 版、消息队列 for RabbitMQ