セキュアイントラネットインスタンス相互運用性の4つの設定方法について

この記事では、4 つのセキュア イントラネット インスタンスの相互運用性設定方法を紹介し、具体的な手順に焦点を当てています。この記事の内容は非常にコンパクトなので、根気よく勉強していただければ幸いです。

従来のネットワーク イントラネット インスタンスの相互運用性設定方法

セキュリティ グループはインスタンス レベルのファイアウォールであり、インスタンスのセキュリティを確保するには、設定時に「最小限の承認」の原則に従う必要があります。セキュリティグループルールの4種類のイントラネットインスタンス相互接続の設定方法を紹介します。

方法 1. 単一 IP アドレス認証を使用する

適用可能なシナリオ: 小規模インスタンス間のイントラネット相互接続シナリオに適しています。

利点: IP アドレスによる承認、セキュリティ グループ ルールは明確で理解しやすいです。

欠点: イントラネット相互接続インスタンスの数が多い場合、100 セキュリティ グループ ルールによって制限され、後のメンテナンスの作業負荷が比較的大きくなります。

設定方法:

相互接続する必要があるインスタンスを選択し、そのインスタンスのセキュリティグループを入力します。

設定するセキュリティ グループを選択し、[ルールの設定]をクリックします。

イントラネットの受信方向をクリックし、クリックしてセキュリティ グループ ルールを追加します。

以下の説明に従ってセキュリティ グループ ルールを追加します。

認可ポリシー: 許可;

プロトコル タイプ: 実際のニーズに応じてプロトコル タイプを選択します。 range: 実際のニーズに応じて、「開始ポート番号/終了ポート番号」の形式でポート範囲を設定します。

認可タイプ: アドレス セグメント アクセス;

認可オブジェクト: を入力します。必要なイントラネットの相互運用性 インスタンスのイントラネット IP アドレスは、a.b.c.d/32 の形式である必要があります。ここで、サブネット マスクは /32 である必要があります。

#方法 2. 同じセキュリティ グループに参加する

該当するシナリオ: アプリケーション アーキテクチャが比較的古い場合simple の場合、すべてのインスタンスに同じセキュリティ グループを選択できます。同じセキュリティ グループにバインドされたインスタンス間で特別なルールを設定する必要はなく、デフォルトのネットワーク相互接続が必要です。

利点: セキュリティ グループのルールが明確です。

欠点: 単純なアプリケーション ネットワーク アーキテクチャにのみ適用できます。ネットワーク アーキテクチャが調整されると、それに応じて認証方法を変更する必要があります。

方法 3. 相互運用セキュリティ グループのバインド

該当するシナリオ: グループを相互運用する必要があるインスタンスの相互運用専用のセキュリティ グループを追加してバインドします。 、マルチレイヤー アプリケーション ネットワーク アーキテクチャのシナリオに適しています。

利点: 操作が簡単で、インスタンス間の相互運用性を迅速に確立でき、複雑なネットワーク アーキテクチャに適用できます。

欠点: インスタンスを複数のセキュリティ グループにバインドする必要があり、セキュリティ グループのルールが読みにくくなります。

設定方法:

セキュリティグループを新規作成し、「Interworking Security Group」という名前を付けます。新しく作成したセキュリティグループにルールを追加する必要はありません。

相互に通信する必要があるインスタンスを追加して、新しく作成した「相互運用性セキュリティ グループ」にバインドし、同じセキュリティ グループ内のインスタンス間でデフォルトの相互接続機能を使用して、イントラネット インスタンスの相互接続の効果を実現します。 。

方法 4. セキュリティ グループの相互信頼認証

該当するシナリオ: ネットワーク アーキテクチャが比較的複雑な場合、各インスタンスにデプロイされたアプリケーションにはさまざまなビジネス ロールに対して、セキュリティ グループを使用して相互に承認することを選択できます。

利点: セキュリティ グループ ルールは明確な構造を持ち、読みやすく、アカウント間で相互運用できます。

欠点: セキュリティ グループ ルールを構成する作業負荷は比較的大きくなります。

設定方法:

相互信頼を確立する必要があるインスタンスを選択し、そのインスタンスのセキュリティグループを入力します。

設定するセキュリティ グループを選択し、[ルールの設定]をクリックします。

イントラネットの受信方向をクリックし、クリックしてセキュリティ グループ ルールを追加します。

以下の説明に従ってセキュリティ グループ ルールを追加します。

認可ポリシー: 許可;

プロトコル タイプ: 実際のニーズに応じてプロトコル タイプを選択します。ポート範囲: 実際のニーズに応じて設定します。

認証タイプ: セキュリティ グループ アクセス。

認可オブジェクト:

このアカウントを認可することを選択した場合: ネットワーク要件に従って、イントラネットの相互運用性を必要とするピア インスタンスのセキュリティ グループ ID を認可オブジェクトに入力します。

クロスアカウント認証を選択した場合: 認証オブジェクトにはピア インスタンスのセキュリティ グループ ID を入力する必要があります。アカウント ID はピア アカウント ID です ([アカウント管理] > [セキュリティ設定] で確認できます)。

##推奨事項

初期のセキュリティ グループの承認が多すぎる場合規模が大きい場合は、次のプロセスを採用して権限の範囲を厳格化することをお勧めします。

図の 0.0.0.0 の削除は、0.0.0.0/0 アドレス セグメントを許可する元のセキュリティ グループ ルールを削除することを意味します。

セキュリティ グループ ルールを不適切に変更すると、インスタンス間の通信に影響が出る可能性があります。相互運用性に問題が発生した場合に復元できるように、設定を変更する前に操作するセキュリティ グループ ルールをバックアップしてください。起こる。

セキュリティ グループは、アプリケーション アーキテクチャ全体におけるインスタンスの役割をマッピングします。アプリケーション アーキテクチャに従ってファイアウォール ルールを計画することをお勧めします。例: 一般的な 3 層 Web アプリケーション アーキテクチャの場合、3 つのセキュリティ グループを計画し、対応するアプリケーションまたはデータベースがデプロイされているインスタンスを対応するセキュリティ グループにバインドできます:

Web 層セキュリティ グループ: openポート 80;

APP 層セキュリティ グループ: ポート 8080 を開きます。

DB 層セキュリティ グループ: ポート 3306 を開きます。

以上がセキュアイントラネットインスタンス相互運用性の4つの設定方法についての詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。