关于四种安全的内网实例互通设置方法

本文在介绍关于四种安全的内网实例互通设置方法的基础上，重点探讨了其具体步骤，本文内容很紧凑，希望大家耐心学习。

经典网络内网实例互通设置方法

安全组是实例级别防火墙，为保障实例安全，设置安全组规则时要遵循“最小授权”原则，下面介绍四种安全的内网实例互通设置方法。

方法 1. 使用单 IP 地址授权

适用场景：适用于小规模实例间内网互通场景。

优点：以IP地址方式授权，安全组规则清晰，容易理解。

缺点：内网互通实例数量较多时，会受到安全组规则条数 100 条的限制，另外后期维护工作量比较大。

设置方法：

选择需要互通的实例，进入 本实例安全组。

选择需要配置安全组，单击 配置规则。

单击 内网入方向，并单击 添加安全组规则。

按以下描述添加安全组规则：

授权策略：允许；

协议类型：根据实际需要选择协议类型；

端口范围：根据您的实际需要设置端口范围，格式为“起始端口号/终止端口号”；

授权类型：地址段访问；

授权对象：输入想要内网互通的实例的内网 IP 地址，格式必须是 a.b.c.d/32。其中，子网掩码必须是 /32。

方法 2. 加入同一安全组

适用场景：如果您的应用架构比较简单，可以为所有的实例选择相同的安全组，绑定同一安全组的实例之间不用设置特殊规则，默认网络互通。

优点：安全组规则清晰。

缺点：仅适用于简单的应用网络架构，网络架构调整时授权方法要随之进行修改。

方法 3. 绑定互通安全组

适用场景：为需要互通的实例增加绑定一个专门用于互通的安全组，适用于多层应用网络架构场景。

优点：操作简单，可以迅速建立实例间互通，可应用于复杂网络架构。

缺点：实例需绑定多个安全组，安全组规则阅读性较差。

设置方法：

新建一个安全组，命名为“互通安全组”，不需要给新建的安全组添加任何规则。

将需要互通的实例都添加绑定新建的“互通安全组”，利用同一安全组的实例之间默认互通的特性，达到内网实例互通的效果。

方法 4. 安全组互信授权

适用场景：如果您的网络架构比较复杂，各实例上部署的应用都有不同的业务角色，您就可以选择使用安全组互相授权方式。

优点：安全组规则结构清晰、阅读性强、可跨账户互通。

缺点：安全组规则配置工作量较大。

设置方法：

选择需要建立互信的实例，进入 本实例安全组。

选择需要配置安全组，单击 配置规则。

单击 内网入方向，并单击 添加安全组规则。

按以下描述添加安全组规则：

授权策略：允许；

协议类型：根据您的实际需要选择协议类型；

端口范围：根据实际需求设置；

授权类型：安全组访问。

授权对象：

如果您选择 本账号授权：按照您的组网要求，将有内网互通需求的对端实例的安全组 ID 填入 授权对象 即可。

如果您选择 跨账号授权：授权对象 应填入对端实例的安全组 ID；账号 ID 是对端账号 ID（可以在 账号管理 > 安全设置 里查到）。

建议

如果前期安全组授权过大，建议采用以下流程收紧授权范围。

图中 删除 0.0.0.0 是指删除原来的允许 0.0.0.0/0 地址段的安全组规则。

如果安全组规则变更操作不当，可能会导致您的实例间通信受到影响，请在修改设置前备份您要操作的安全组规则，以便出现互通问题时及时恢复。

安全组映射了实例在整个应用架构中的角色，推荐按照应用架构规划防火墙规则。例如：常见的三层 Web 应用架构就可以规划三个安全组，将部署了相应应用或数据库的实例绑定对应的安全组：

Web 层安全组：开放 80 端口；

APP 层安全组：开放 8080 端口；

DB 层安全组：开放 3306 端口。

以上是关于四种安全的内网实例互通设置方法的详细内容。更多信息请关注PHP中文网其他相关文章！