Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >Über vier sichere Einstellungsmethoden für die Interoperabilität von Intranetinstanzen
Basierend auf der Einführung von vier sicheren Intranet-Instanzverbindungs-Einstellungsmethoden konzentriert sich dieser Artikel auf die spezifischen Schritte. Der Inhalt dieses Artikels ist sehr kompakt.
So richten Sie die Interoperabilität zwischen Intranet-Instanzen im klassischen Netzwerk ein
Sicherheitsgruppen sind Firewalls auf Instanzebene. Um die Instanzsicherheit zu gewährleisten, muss beim Festlegen der Sicherheit das Prinzip der „Mindestautorisierung“ beachtet werden Gruppenregeln Die vier Arten von Sicherheit werden im Folgenden vorgestellt. Die Methode zur Einstellung der Intranet-Instanzverbindung.
Methode 1. Einzel-IP-Adressautorisierung verwenden
Anwendbare Szenarien: Geeignet für Intranet-Verbindungsszenarien zwischen kleinen Instanzen.
Vorteile: Autorisierung über IP-Adresse, Sicherheitsgruppenregeln sind klar und leicht verständlich.
Nachteile: Wenn die Anzahl der Intranet-Verbindungsinstanzen groß ist, wird sie durch die 100 Sicherheitsgruppenregeln begrenzt und der spätere Wartungsaufwand ist relativ groß.
Einstellungsmethode:
Wählen Sie die Instanz aus, die miteinander verbunden werden muss, und geben Sie die Sicherheitsgruppe dieser Instanz ein.
Wählen Sie die zu konfigurierende Sicherheitsgruppe aus und klicken Sie auf Regeln konfigurieren.
Klicken Sie auf Eingehende Richtung und dann auf Sicherheitsgruppenregel hinzufügen.
Fügen Sie Sicherheitsgruppenregeln wie unten beschrieben hinzu:
Autorisierungsrichtlinie: Zulassen;
Protokolltyp: Wählen Sie den Protokolltyp entsprechend den tatsächlichen Anforderungen aus; Bereich: Stellen Sie den Portbereich entsprechend Ihren tatsächlichen Anforderungen im Format „Startportnummer/Endportnummer“ ein.
Autorisierungstyp: Adresssegmentzugriff
Autorisierungsobjekt: Geben Sie ein gewünschte Intranet-Interoperabilität Die Intranet-IP-Adresse der Instanz muss im Format a.b.c.d/32 vorliegen. Dabei muss die Subnetzmaske /32 sein.
Methode 2. Treten Sie derselben Sicherheitsgruppe bei Anwendbares Szenario: Wenn Ihre Anwendungsarchitektur relativ ist Einfach: Sie können für alle Instanzen dieselbe Sicherheitsgruppe auswählen. Es ist nicht erforderlich, spezielle Regeln zwischen Instanzen festzulegen, die an dieselbe Sicherheitsgruppe gebunden sind, und die Standardnetzwerkverbindung ist erforderlich.
Vorteile: Die Regeln für Sicherheitsgruppen sind klar.
Nachteile: Es ist nur für einfache Anwendungsnetzwerkarchitekturen geeignet. Wenn die Netzwerkarchitektur angepasst wird, muss die Autorisierungsmethode entsprechend geändert werden.
Methode 3. Interworking-Sicherheitsgruppe binden Anwendbares Szenario: Fügen Sie eine Sicherheitsgruppe hinzu und binden Sie sie, die für die Zusammenarbeit für Instanzen bestimmt ist, die mit der Gruppe zusammenarbeiten müssen , geeignet für mehrschichtige Anwendungsnetzwerkarchitekturszenarien.
Vorteile: Einfache Bedienung, kann schnell Interoperabilität zwischen Instanzen herstellen und kann auf komplexe Netzwerkarchitekturen angewendet werden.
Nachteile: Die Instanz muss an mehrere Sicherheitsgruppen gebunden sein und die Sicherheitsgruppenregeln sind weniger lesbar.
Einstellungsmethode:
Erstellen Sie eine neue Sicherheitsgruppe und nennen Sie sie „Interworking Security Group“. Es ist nicht erforderlich, der neu erstellten Sicherheitsgruppe irgendwelche Regeln hinzuzufügen.
Fügen Sie die Instanzen hinzu, die miteinander kommunizieren müssen, und binden Sie sie an die neu erstellte „Interoperabilitätssicherheitsgruppe“. Verwenden Sie die Funktion der Standardinteroperabilität zwischen Instanzen in derselben Sicherheitsgruppe, um den Effekt der Interoperabilität von Intranetinstanzen zu erzielen .
Methode 4. Autorisierung durch gegenseitiges Vertrauen in Sicherheitsgruppen Anwendbare Szenarien: Wenn Ihre Netzwerkarchitektur relativ komplex ist, müssen die auf jeder Instanz bereitgestellten Anwendungen dies tun Für verschiedene Geschäftsrollen können Sie Sicherheitsgruppen verwenden, um sich gegenseitig zu autorisieren.
Vorteile: Sicherheitsgruppenregeln haben eine klare Struktur, sind leicht zu lesen und können kontenübergreifend interoperiert werden.
Nachteile: Der Arbeitsaufwand für die Konfiguration von Sicherheitsgruppenregeln ist relativ groß.
Einstellungsmethode:
Wählen Sie die Instanz aus, die gegenseitiges Vertrauen herstellen muss, und geben Sie die Sicherheitsgruppe dieser Instanz ein.
Wählen Sie die zu konfigurierende Sicherheitsgruppe aus und klicken Sie auf Regeln konfigurieren.
Klicken Sie auf Eingehende Richtung und dann auf Sicherheitsgruppenregel hinzufügen.
Fügen Sie Sicherheitsgruppenregeln wie unten beschrieben hinzu:
Autorisierungsrichtlinie: Zulassen;
Protokolltyp: Wählen Sie den Protokolltyp entsprechend Ihren tatsächlichen Anforderungen aus; Portumfang: Je nach tatsächlichem Bedarf eingestellt;
Autorisierungstyp: Zugriff auf Sicherheitsgruppen.
Autorisierungsobjekt:
Wenn Sie sich für die Autorisierung dieses Kontos entscheiden: Geben Sie entsprechend Ihren Netzwerkanforderungen die Sicherheitsgruppen-ID der Peer-Instanz ein, die Intranet-Interoperabilität erfordert, in das Autorisierungsobjekt.
Wenn Sie die kontoübergreifende Autorisierung wählen: Das Autorisierungsobjekt sollte mit der Sicherheitsgruppen-ID der Peer-Instanz ausgefüllt werden. Die Konto-ID ist die Peer-Konto-ID (zu finden unter Kontoverwaltung > Sicherheitseinstellungen). .
Empfehlung
Wenn die anfängliche Sicherheitsgruppenautorisierung lautet zu groß. Es wird empfohlen, den folgenden Prozess zu übernehmen, um den Umfang der Autorisierung zu verschärfen.
Das Löschen von 0.0.0.0 in der Abbildung bezieht sich auf das Löschen der ursprünglichen Sicherheitsgruppenregel, die das Adresssegment 0.0.0.0/0 zulässt.
Wenn die Sicherheitsgruppenregeln unsachgemäß geändert werden, kann dies Ihre Kommunikation zwischen Instanzen beeinträchtigen. Bitte sichern Sie die Sicherheitsgruppenregeln, die Sie verwenden möchten, bevor Sie die Einstellungen ändern, damit Sie sie bei Interoperabilitätsproblemen rechtzeitig wiederherstellen können geschehen.
Sicherheitsgruppen bilden die Rolle von Instanzen in der gesamten Anwendungsarchitektur ab. Es wird empfohlen, Firewall-Regeln entsprechend der Anwendungsarchitektur zu planen. Beispiel: Für eine allgemeine dreistufige Webanwendungsarchitektur können Sie drei Sicherheitsgruppen planen und die Instanzen, in denen die entsprechenden Anwendungen oder Datenbanken bereitgestellt werden, an die entsprechenden Sicherheitsgruppen binden:
Webschicht-Sicherheitsgruppe: offen Port 80;
APP-Layer-Sicherheitsgruppe: offener Port 8080
DB-Layer-Sicherheitsgruppe: offener Port 3306.
Das obige ist der detaillierte Inhalt vonÜber vier sichere Einstellungsmethoden für die Interoperabilität von Intranetinstanzen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!