보안 그룹 규칙을 승인 및 취소하고 보안 그룹에 가입 및 탈퇴하는 방법
- 坏嘻嘻원래의
- 2018-09-19 11:57:222300검색
이 글은 보안 그룹 승인, 취소, 보안 그룹 가입 및 탈퇴 방법에 대한 내용을 담고 있습니다. 도움이 필요한 친구들이 참고하시면 좋겠습니다.
이 글에서는 보안 그룹의 다음 내용을 소개합니다.
보안 그룹 규칙의 승인 및 철회.
보안 그룹에 가입하고 보안 그룹에서 탈퇴하세요.
Alibaba Cloud의 네트워크 유형은 클래식 네트워크와 VPC로 구분되며 보안 그룹에 대해 다양한 설정 규칙을 지원합니다.
클래식 네트워크인 경우 인트라넷 인바운드 방향, 인트라넷 아웃바운드 방향, 공용 네트워크 인바운드 규칙을 설정할 수 있습니다. 방향 및 공용 네트워크 아웃바운드 방향.
VPC 네트워크인 경우 인바운드 방향과 아웃바운드 방향을 설정할 수 있습니다.
보안 그룹 인트라넷 통신의 개념
이 기사를 시작하기 전에 보안 그룹 인트라넷 통신의 다음 개념을 알아야 합니다.
기본적으로 동일한 보안 그룹에 있는 ECS 인스턴스만 서로 통신할 수 있습니다. 네트워크를 통해. 동일한 계정의 ECS 인스턴스가 서로 다른 보안 그룹에 속하더라도 인트라넷 네트워크에 액세스할 수 없습니다. 이는 클래식 네트워크와 VPC 네트워크 모두에 적용됩니다. 따라서 클래식 네트워크의 ECS 인스턴스도 인트라넷에서 안전합니다.
동일한 보안 그룹에 속하지 않은 두 개의 ECS 인스턴스가 있고 인트라넷에서 서로 통신할 수 없기를 바라지만 실제로는 통신하는 경우 보안 그룹의 인트라넷 규칙 설정을 확인해야 합니다. . 인트라넷 프로토콜에 다음 프로토콜이 존재하는 경우 해당 프로토콜을 재설정하는 것이 좋습니다.
모든 포트를 허용합니다.
인증 개체는 CIDR 네트워크 세그먼트(SourceCidrIp): 0.0.0.0/0 또는 10.0.0.0/8의 규칙입니다.
클래식 네트워크인 경우 위 프로토콜로 인해 인트라넷이 다른 액세스에 노출됩니다.
다른 보안 그룹의 리소스 간에 네트워크 통신을 수행하려면 보안 그룹 인증을 사용해야 합니다. 인트라넷 액세스의 경우 CIDR 세그먼트 인증 대신 소스 보안 그룹 인증을 사용해야 합니다.
보안 규칙의 속성
보안 규칙은 주로 다음 속성을 포함하여 다양한 액세스 권한을 설명합니다.
정책: 권한 부여 정책, 매개변수 값은 수락(수락) 또는 삭제(거부)일 수 있습니다.
우선순위: 우선순위, 보안 그룹 규칙 생성 시간에 따라 일치 항목을 내림차순으로 정렬합니다. 규칙 우선순위의 선택적 범위는 1~100이며, 기본값은 가장 높은 우선순위인 1입니다. 숫자가 높을수록 우선순위가 낮아집니다.
NicType: 네트워크 유형. SourceCidrIp 없이 SourceGroupId만 지정하면 보안 그룹을 통해 인증이 이루어진다는 의미입니다. 이 경우 NicType을 인트라넷으로 지정해야 합니다.
규칙 설명:
IpProtocol: IP 프로토콜, 값: tcp | icmp | all은 모든 프로토콜을 의미합니다.
PortRange: IP 프로토콜과 관련된 포트 번호 범위:
IpProtocol 값이 tcp 또는 udp인 경우 포트 번호 범위는 1~65535이고 형식은 "시작 포트 번호/끝 포트 번호"여야 합니다. 1 /200"은 포트 번호 범위가 1~200임을 나타냅니다. 입력 값이 "200/1"이면 인터페이스 호출에서 오류를 보고합니다.
IpProtocol 값이 icmp, gre 또는 all인 경우 포트 번호 범위는 -1/-1이며 이는 포트 제한이 없음을 의미합니다.
보안 그룹을 통해 권한이 부여된 경우 원본 보안 그룹 ID인 SourceGroupId를 지정해야 합니다. 이때, 계정 간 인증 여부에 따라 소스 보안 그룹이 속한 계정 SourceGroupOwnerAccount를 선택할 수 있습니다.
CIDR을 통해 인증하는 경우 소스 IP 주소 세그먼트인 SourceCidrIp를 지정해야 합니다. CIDR 형식을 사용해야 합니다.
네트워크 액세스 요청 규칙 승인
콘솔에서 또는 API를 통해 보안 그룹을 생성하면 네트워크 액세스 방향은 기본적으로 모두 거부로 설정됩니다. 즉, 기본적으로 모든 네트워크 액세스 요청을 거부합니다. 이는 모든 상황에 적용되는 것은 아니므로 액세스 규칙을 적절하게 구성하는 것이 좋습니다.
예를 들어 외부 세계에 HTTP 서비스를 제공하기 위해 공용 네트워크의 포트 80을 열어야 하는 경우 공용 네트워크 액세스이기 때문에 최대한 네트워크에 액세스하기를 원하므로 제한이 없어야 합니다. IP 네트워크 세그먼트에서는 0.0.0.0/0으로 설정할 수 있습니다. 구체적인 설정은 다음 설명을 참조하세요. 콘솔 매개변수는 괄호 바깥에 있고 OpenAPI 매개변수는 괄호 안에 있습니다. 아무런 구별도 되지 않을 것입니다.
네트워크 카드 유형(NicType): 공용 네트워크(인터넷). VPC 유형인 경우 인트라넷만 채우고 EIP를 통해 공용 네트워크 액세스를 달성하면 됩니다.
승인 정책: 허용(수락).
규칙 방향(NicType): 네트워크를 입력합니다.
프로토콜 유형(IpProtocol): TCP(tcp).
포트 범위(PortRange): 80/80.
인증 개체(SourceCidrIp): 0.0.0.0/0.
우선순위: 1.
참고: 위 제안 사항은 공용 네트워크에만 유효합니다. 인트라넷 요청에는 CIDR 네트워크 세그먼트를 사용하지 않는 것이 좋습니다. CIDR 또는 IP 인증을 사용하지 마십시오.
Ban a network access request rule
규칙을 금지할 때는 거부 정책을 구성하고 더 낮은 우선순위만 설정하면 됩니다. 이러한 방식으로 필요한 경우 이 규칙을 재정의하도록 다른 높은 우선순위 규칙을 구성할 수 있습니다. 예를 들어 다음 설정을 사용하여 포트 6379에 대한 액세스를 거부할 수 있습니다.
네트워크 카드 유형(NicType): 인트라넷.
승인 정책: 거부(삭제).
규칙 방향(NicType): 네트워크로.
프로토콜 유형(IpProtocol): TCP(tcp).
포트 범위(PortRange): 6379/6379.
인증 개체(SourceCidrIp): 0.0.0.0/0.
우선순위: 100.
클래식 네트워크의 인트라넷 보안 그룹 규칙에 CIDR 또는 IP 인증을 사용하지 마세요.
클래식 네트워크의 ECS 인스턴스의 경우 Alibaba Cloud는 기본적으로 인트라넷 인바운드 규칙을 활성화하지 않습니다. 인트라넷을 인증할 때는 주의해야 합니다.
보안상의 이유로 CIDR 네트워크 세그먼트 기반 인증을 활성화하지 않는 것이 좋습니다.
탄력적인 컴퓨팅을 위해 인트라넷의 IP는 자주 변경됩니다. 또한 이 IP의 네트워크 세그먼트는 불규칙하므로 클래식 네트워크의 인트라넷의 경우 보안 그룹을 통해 인트라넷에 대한 접근 권한을 부여하는 것이 좋습니다. .
예를 들어 보안 그룹 sg-redis에 redis 클러스터를 구축했다면 특정 시스템(예: sg-web)만 이 Redis 서버 그룹에 액세스하도록 허용하기 위해 CIDR을 구성할 필요가 없습니다. 항목만 추가하면 됩니다. 규칙: 관련 보안 그룹 ID만 지정하면 됩니다.
네트워크 카드 유형(NicType): 인트라넷.
승인 정책: 허용(수락).
규칙 방향(NicType): 네트워크를 입력합니다.
프로토콜 유형(IpProtocol): TCP(tcp).
포트 범위(PortRange): 6379/6379.
인증 개체(SourceGroupId): sg-web.
우선순위: 1.
VPC 유형 인스턴스의 경우 여러 VSwitch를 통해 자체 IP 범위를 계획한 경우 CIDR 설정을 보안 그룹화 규칙으로 사용할 수 있지만 VPC 네트워크 세그먼트가 충분히 명확하지 않은 경우 우선적으로 사용하는 것이 좋습니다. 보안 그룹을 항목 규칙으로 사용합니다.
서로 통신해야 하는 ECS 인스턴스를 동일한 보안 그룹에 추가하세요
ECS 인스턴스는 최대 5개의 보안 그룹에 가입할 수 있으며, 동일한 보안 그룹에 속한 ECS 인스턴스는 네트워크를 통해 상호 연결됩니다. 계획 중에 이미 여러 보안 그룹이 있고 여러 보안 규칙을 직접 설정하기가 너무 복잡한 경우 새 보안 그룹을 생성한 다음 인트라넷 통신이 필요한 ECS 인스턴스를 이 새 보안 그룹에 추가할 수 있습니다.
보안 그룹은 네트워크 유형을 구별합니다. 클래식 네트워크 유형의 ECS 인스턴스는 클래식 네트워크의 보안 그룹에만 가입할 수 있습니다. VPC 유형 ECS 인스턴스는 이 VPC의 보안 그룹에만 가입할 수 있습니다.
모든 ECS 인스턴스를 보안 그룹에 추가하는 것은 권장되지 않습니다. 이렇게 하면 보안 그룹 규칙 설정이 악몽이 됩니다. 중대형 애플리케이션의 경우 각 서버 그룹에는 서로 다른 역할이 있습니다. 각 서버의 인바운드 및 아웃바운드 요청을 합리적으로 계획하는 것이 매우 필요합니다.
콘솔에서는 보안 그룹 가입 문서에 설명된 대로 보안 그룹에 인스턴스를 추가할 수 있습니다.
Alibaba Cloud의 OpenAPI에 대해 잘 알고 계시다면 OpenAPI를 사용하여 ECS 인스턴스를 탄력적으로 관리하고 OpenAPI를 통해 일괄 작업을 수행하는 방법을 참조하세요. 해당 Python 조각은 다음과 같습니다.
def join_sg(sg_id, instance_id):
request = JoinSecurityGroupRequest()
request.set_InstanceId(instance_id)
request.set_SecurityGroupId(sg_id)
response = _send_request(request)
return response
# send open api request
def _send_request(request):
request.set_accept_format('json')
try:
response_str = clt.do_action(request)
logging.info(response_str)
response_detail = json.loads(response_str)
return response_detail
except Exception as e:
logging.error(e)보안 그룹에서 ECS 인스턴스 제거
ECS 인스턴스가 부적절한 보안 그룹에 추가되면 서비스가 노출되거나 차단됩니다. 이때 ECS 인스턴스를 보안 그룹에서 제거하도록 선택할 수 있습니다. 이 보안 그룹. 그러나 보안 그룹을 제거하기 전에 ECS 인스턴스가 다른 보안 그룹에 가입되어 있는지 확인해야 합니다.
참고: ECS 인스턴스를 보안 그룹 밖으로 이동하면 현재 보안 그룹의 네트워크에서 ECS 인스턴스의 연결이 끊어집니다. 이동하기 전에 충분한 테스트를 수행하는 것이 좋습니다.
해당 Python 스니펫은 다음과 같습니다.
def leave_sg(sg_id, instance_id):
request = LeaveSecurityGroupRequest()
request.set_InstanceId(instance_id)
request.set_SecurityGroupId(sg_id)
response = _send_request(request)
return response
# send open api request
def _send_request(request):
request.set_accept_format('json')
try:
response_str = clt.do_action(request)
logging.info(response_str)
response_detail = json.loads(response_str)
return response_detail
except Exception as e:
logging.error(e)합리적인 보안 그룹 이름 및 레이블 정의
합리적인 보안 그룹 이름 및 설명은 현재의 복잡한 규칙 조합을 빠르게 식별하는 데 도움이 됩니다. 이름과 설명을 수정하면 보안 그룹을 쉽게 식별할 수 있습니다.
보안 그룹에 대한 레이블 그룹을 설정하여 자체 보안 그룹을 관리할 수도 있습니다. 콘솔에서 직접 또는 API를 통해 라벨을 설정할 수 있습니다.
불필요한 보안 그룹 삭제
보안 그룹의 보안 규칙은 화이트리스트, 블랙리스트와 유사합니다. 따라서 실수로 ECS 인스턴스에 조인하여 발생하는 불필요한 문제를 방지하려면 불필요한 보안 그룹을 유지하지 마십시오.
위 내용은 보안 그룹 규칙을 승인 및 취소하고 보안 그룹에 가입 및 탈퇴하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!