使用ip地址组提升安全组规则管理效率-九游平台
应用场景
ip地址组是一个或者多个ip地址的集合,您可以在配置安全组规则的时候使用ip地址组。如果您变更了ip地址组内的ip地址,则相当于直接变更了这些ip地址对应的安全组规则,免去逐条修改安全组规则的工作量。
通常情况下,针对金融,证券等企业,在规划云上组网业务时,对安全性要求较高,实例内的访问控制需要针对ip粒度进行配置。为了既能实现针对ip粒度的精细控制,又能确保安全组规则配置的简洁性,对于安全策略相同的ip网段和ip地址,建议您使用ip地址组降低管理安全组规则的工作量。关于ip地址组的更多信息,请参见ip地址组简介。
- 不使用ip地址组的情况下,工程师需要在多个安全组内,分别维护针对不同授权对象的多条安全组规则。一旦企业用户的ip地址发生变动,工程师需要逐个调整每个安全组内对应的规则。安全组数量和规则数量越多,管理工作量越大。
- 使用ip地址组的情况下,工程师可以将企业用户的ip地址添加到ip地址组内,并在安全组内添加针对该ip地址组的授权规则。当企业用户的ip地址发生变化时,工程师只需要在ip地址组内修改ip地址,那么ip地址组对应的安全组规则将会随之变更,无需修改每个安全组内的规则,降低了安全组管理的难度,提升效率。
方案架构
- 创建一个ip地址组,并添加待授权的ip地址。
- 分别在三个安全组入方向中,添加授权ip地址组访问的规则。
表1 安全组入方向规则说明 方向
策略
类型
协议端口
源地址
入方向
允许
ipv4
tcp: 22
ip地址组
- 如果后续允许访问实例的ip地址有变化,此时需要在ip地址组内修改ip地址条目,对应的安全组规则会自动生效。
约束与限制
对于关联ip地址组的安全组,其中ip地址组相关的规则对某些类型的云服务器不生效,不支持的类型如下:
- 通用计算型(s1型、c1型、c2型 )
- 内存优化型(m1型)
- 高性能计算型(h1型)
- 磁盘增强型( d1型)
- gpu加速型(g1型、g2型)
- 超大内存型(e1型、e2型、et2型)
资源规划
本示例中需要规划的ip地址组和安全组资源需要位于同一个区域内,详细说明如表2所示。以下资源规划详情仅为示例,您可以根据需要自行修改。
|
资源类型 |
资源数量 |
说明 |
|---|---|---|
|
ip地址组 |
1 |
创建ip地址组,并添加指定ip地址。
|
|
安全组 |
3 |
在3个安全组中,均需要添加授权ip地址组访问的规则,具体如表3所示。 |
|
方向 |
策略 |
类型 |
协议端口 |
源地址 |
|---|---|---|---|---|
|
入方向 |
允许 |
ipv4 |
tcp: 22 |
ipgroup-a |
操作步骤
- 创建一个ip地址组,并添加指定ip地址。
具体操作请参见创建ip地址组。
- 在3个安全组中,分别添加授权ip地址组访问的规则。
具体操作请参见添加安全组规则。
添加完成后,允许来自11.xx.xx.64/32、116.xx.xx.252/30、113.xx.xx.0/25、183.xx.xx.208/28的流量访问安全组内实例的ssh(22)端口,通常用于远程登录linux云服务器。
- 修改ip地址组内的ip地址条目。
如果添加安全组规则后,又需要为新增的ip地址添加授权规则,此时您需要在ip地址组内增加新的ip地址即可。比如,在ip地址组内增加网段117.xx.xx.0/25后,安全组规则自动生效,允许来自117.xx.xx.0/25的流量访问安全组内实例的ssh(22)端口。
具体操作请参见。
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
