關於四種安全的內部網路實例互通設定方法

本文在介紹關於四種安全的內網實例互通設定方法的基礎上，重點探討了其具體步驟，本文內容很緊湊，希望大家耐心學習。

經典網路內網實例互通設定方法

安全群組是實例層級防火牆，為保障實例安全，設定安全群組規則時要遵循「最小授權」原則，以下介紹四種安全的內網實例互通設定方法。

方法 1. 使用單一 IP 位址授權

#適用情境：適用於小規模實例間內網互通情境。

優點：以IP位址方式授權，安全群組規則清晰，容易理解。

缺點：內網互通執行個體數量較多時，會受到安全群組規則條數 100 條的限制，另外後期維護工作量比較大。

設定方法：

選擇需要互通的實例，進入 本實例安全性群組。

選擇需要設定安全群組，點選 設定規則。

點選 內網入方向，並點選 新增安全性群組規則。

依下列說明新增安全性群組規則：

授權策略：允許；

協定類型：依實際需求選擇協定類型；

連接埠範圍：根據您的實際需求設定連接埠範圍，格式為「起始連接埠號碼/終止連接埠號碼」；

授權類型：位址段存取；

授權物件：輸入想要內網互通的實例的內部網路IP 位址，格式必須是a.b.c.d/32。其中，子網路遮罩必須是 /32。

方法2. 加入相同安全性群組

適用場景：如果您的應用程式架構比較簡單，可以為所有的執行個體選擇相同的安全性群組，綁定同一安全性群組的執行個體之間不用設定特殊規則，預設網路互通。

優點：安全群組規則清晰。

缺點：只適用於簡單的應用網路架構，網路架構調整時授權方法要隨之進行修改。

方法3. 綁定互通安全群組

#適用場景：為需要互通的實例增加綁定一個專門用於互通的安全群組，適用於多層應用網路架構場景。

優點：操作簡單，可以快速建立實例間互通，可應用於複雜網路架構。

缺點：實例需綁定多個安全性群組，安全性群組規則閱讀性較差。

設定方法：

新建一個安全群組，命名為“互通安全群組”，不需要為新建的安全群組新增任何規則。

將需要互通的實例都添加綁定新的“互通安全群組”，利用同一安全性群組的實例之間預設互通的特性，達到內網實例互通的效果。

方法4. 安全性群組互信授權

#適用場景：如果您的網路架構比較複雜，各實例上部署的應用程式都有不同的業務角色，您就可以選擇使用安全群組互相授權方式。

優點：安全群組規則結構清晰、閱讀性強、可跨帳戶互通。

缺點：安全性群組規則配置工作量較大。

設定方法：

選擇需要建立互信的實例，進入 本實例安全性群組。

選擇需要設定安全群組，點選 設定規則。

點選 內網入方向，並點選 新增安全性群組規則。

按以下描述新增安全性群組規則：

授權策略：允許；

協定類型：根據您的實際需求選擇協定類型;

連接埠範圍：根據實際需求設定；

授權類型：安全群組存取。

授權物件：

如果您選擇 本帳號授權：依照您的群組網路要求，將有內網互通需求的對端執行個體的安全性群組 ID 填入 授權物件 即可。

如果您選擇 跨帳號授權：授權物件 應填入對端實例的安全群組 ID；帳號 ID 是對端帳號 ID（可以在 帳號管理 > 安全設定 裡查到）。

建議

如果前期安全性群組授權過大，建議採用以下流程收緊授權範圍。

圖中 刪除 0.0.0.0 是指刪除原來的允許 0.0.0.0/0 位址段的安全群組規則。

如果安全群組規則變更操作不當，可能會導致您的實例間通訊受到影響，請在修改設定前備份您要操作的安全群組規則，以便出現互通問題時及時復原。

安全群組對應了執行個體在整個應用架構中的角色，建議依照應用程式架構規劃防火牆規則。例如：常見的三層Web 應用架構就可以規劃三個安全性群組，將部署了對應應用程式或資料庫的執行個體綁定對應的安全性群組：

Web 層安全性群組：開放80 連接埠；

APP 層安全群組：開放8080 連接埠；

DB 層安全群組：開放3306 連接埠。

以上是關於四種安全的內部網路實例互通設定方法的詳細內容。更多資訊請關注PHP中文網其他相關文章！