實現安全組內網路隔離

2021-08-04 12:04:42 字數 1230 閱讀 4549

安全組預設的網路連通策略是:同一安全組內的例項之間網路互通,不同安全組的例項之間缺省內網不通。這個策略滿足了絕大多數客戶的需求,但也有少數客戶希望能夠改變安全組網路連通策略,同乙個安全組內的網路是隔離的而不是互通的,這樣可以大大減少安全組的數量進而降低維護和管理安全組的成本。基於這些客戶的訴求,我們豐富了安全組網路連通策略,支援安全組內網路隔離。要使用此功能,您需要首先了解安全組內網路隔離的一些細節:

隔離的粒度是網絡卡而不是ecs例項 如果ecs例項掛載了多塊網絡卡,這一點需要特別注意。

不會改變預設的網路連通策略 安全組**預設的**網路連通策略仍然是同一安全組內的例項之間網路**互通**,不同安全組的例項之間缺省內網不通。新的功能只是為您提供了一種手段來修改網路連通策略,因此新功能不會對您既有安全組或者對您新建的安全組造成任何影響。

隔離優先的原則

網路隔離只限於當前組內的例項(網絡卡) 假設當前安全組是g1,組內網路設定為「隔離」,vm1和vm2屬於g1,vm2和vm3屬於g2,g2的組內網路互通,那麼vm1和vm2網路不可達,但vm2和vm3之間網路可達。

為了更好的理解安全組內網路格力的約束和限制,下面以乙個典型的例子加以說明(出於便於表達的目的,都假設乙個例項只有一塊網絡卡,因此網絡卡隔離就等價於例項隔離),例項和例項所屬的安全組的關係如下圖:

安全組內網路連通策略如下:

安全組內網連通策略

包含的例項

g1隔離

vm1,vm2

g2互通

vm1,vm2

g3互通

vm2,vm3

這個例子中各例項間網路連通情況如下表:

例項間網路

互通/隔離

原因vm1-vm2

隔離vm1,vm2同時屬於g1和g2,g1的策略是「隔離」,g2的策略是「互通」,基於「隔離」優先的原則,vm1到vm2之間不可通訊

vm2-vm3

互通vm2和vm3同時屬於g3,而且g3的策略是「互通」,所以vm2和vm3預設可以通訊

vm1-vm3

隔離vm1和vm3分屬不同的安全組,按照預設的網路連通策略,不同安全組的例項之間缺省內網不通

關於此功能的api細節,請參考modifysecuritygrouppolicy

實現安全組內網路隔離

安全組預設的網路連通策略是 同一安全組內的例項之間網路互通,不同安全組的例項之間缺省內網不通。這個策略滿足了絕大多數客戶的需求,但也有少數客戶希望能夠改變安全組網路連通策略,同乙個安全組內的網路是隔離的而不是互通的,這樣可以大大減少安全組的數量進而降低維護和管理安全組的成本。基於這些客戶的訴求,我們...

安全組與網路ACL區別

通過配置網路acl和安全組策略,保障vpc內的彈性雲伺服器安全使用。如圖1所示。圖1安全組與網路acl 網路acl和安全組區別如表1所示。表1安全組和網路acl 對比項安全組網路acl 防護物件 彈性雲伺服器級別操作。子網級別操作。配置策略 僅支援允許策略。支援允許 拒絕策略。優先順序多個規則衝突,...

openstack安全組ovs實現原理

目標ip 10.211.202.16 目標mac fa 16 3e f1 2a 30 該網路對應的外部vlan id 202 分析ssh 10.211.202.16時的流表匹配過程 root xs compute07 ovs ofctl dump flows br bond1 cookie 0x9e...