玩转天翼云安全组

天翼云开发者社区
• 阅读 1028

天翼云的每台云主机都处于一个称为虚拟私有云(CT-VPC ,Virtual Private Cloud)的逻辑隔离的网络环境之下,云主机之间以及云主机与外网之间的网络互访靠什么来保障安全呢?这就是安全组。

安全组用来实现安全组内和以及安全组之间云主机的访问控制,加强云主机安全保护。在定义安全组时,可以按照流量进出方向、协议、IP地址、端口来自定义访问规则,当云主机加入安全组后,即受到这些访问规则的保护。

当创建一台云主机时,这台云主机就自动处于某一个安全组的保护之下。如果没有额外手动创建的话,系统将自动创建一个名称为Sys-default的默认安全组。 默认的安全组有两条规则: 玩转天翼云安全组

第一条规则的作用是允许同一个安全组内的主机互访 第二条规则的作用是允许云主机访问任意外网 其实还有第三条隐含的规则,即拒绝所有入方向的流量。 为简化配置,安全组设计为只能允许的规则,不能配置拒绝的规则,即可将安全组视为是一个默认出方向全部允许,入方向全部禁止的防火墙。 第二条规则允许云主机访问任意外网好理解,那第一条规则允许同一个安全组内的主机互访该如何理解呢? 假如我们有两台云主机 HostA和HostB,它们属于同一个VPC同一个子网,HostA的安全组为sgA,HostB的安全组为sgB 玩转天翼云安全组

默认情况下,虽然HostA和HostB两台云主机在同一个子网,但由于两台云主机的安全组不同,导致相互之间不能互访。如果两台云主机属于同一个安全组下,则由于第一条安全组规则的作用,两台云主机相互之间可以访问。

这时候如果要实现两台云主机互访,可以把两台云主机调整到同一个安全组,或者分别在sgA安全组上添加规则允许sgB安全组,在sgB安全组上添加规则允许sgA安全组。

同一个VPC内的云主机划分到不同的安全组适用于对安全配置要求非常精细的场景。 比如有三台服务器,Web服务器对外提供80端口Web接入,Web服务器向应用服务器8080端口发起应用请求,应用服务器再向数据库服务器3306端口发起数据库请求。 玩转天翼云安全组

这时候我们可以定义三个安全组,Web安全组允许外网访问80端口、App安全组允许Web安全组访问8080端口、DB安全组允许App安全组访问3306端口。 当然绝大多数场景下同一个VPC内的云主机配置使用同一个安全组就足够了,不需要配置得这么复杂。

下面看一个配置实例: 假如有一台Linux云主机需要运行web服务,端口使用80端口。并且需要通过ssh进行远程管理,能ping通云主机的弹性IP进行故障监控。 这时候应该怎么配置呢: 在天翼云安全组控制台,进入需要进行配置的安全组,点击“快速添加规则”。方向选择为入方向,勾选SSH、HTTP、HTTPS,源地址不修改保留为0.0.0.0/0,即源地址为所有地址,点击确定,完成添加。 玩转天翼云安全组

这就允许所有用户访问到云主机的22、80、443端口。 再添加一条规则,方向为入方向、协议为ICMP、类型选择Any,IP地址保持默认为0.0.0.0/0,点击确认,保存。则所有用户能ping通云主机的公网IP地址,便于进行快速故障诊断。 玩转天翼云安全组

    天翼云安全组是独立于云主机操作系统的安全保护策略,在部署应用后发现应用不能访问最常见的问题就是安全组策略没有配置开放应用端口。
点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
人间小土豆 人间小土豆
3年前
虚拟主机、VPS、云服务器三者的区别
对于服务器租用中的云服务有云虚拟主机、VPS主机和云服务器,由于这三种服务器名字和功能相似,让人傻傻分不清楚。那么这三者之间有什么区别呢?一、云虚拟主机,也常常被称为“虚拟空间”、“空间”;虚拟主机相对于其他两种云主机的主要区别就是,虚拟主机无需用户部署网站环境,通常默认支持多种建站环境,用户直接上传建站程序安装就可以使用。由于虚拟机空间不支持连接到桌面进行
Peter20 Peter20
3年前
mysql中like用法
like的通配符有两种%(百分号):代表零个、一个或者多个字符。\(下划线):代表一个数字或者字符。1\.name以"李"开头wherenamelike'李%'2\.name中包含"云",“云”可以在任何位置wherenamelike'%云%'3\.第二个和第三个字符是0的值wheresalarylike'\00%'4\
如何选择天翼云云硬盘
天翼云提供普通云盘(SATA)、高效云盘(SAS)、SSD云盘(SSD)三种类型的云硬盘,这三种类型有什么区别,又分别适用于什么场景呢?今天就来说一说这个问题。首先我们了解一下什么是云硬盘。云硬盘即云主机使用的存储设备,购买云主机后操作系统、应用软件数据都保存在云硬盘上。本质上它是天翼云分布式存储池中划分出来的一个虚拟磁盘设备,在使用上和普通服务器的硬盘没有
如何远程管理天翼云RDS数据库
天翼云MySQLRDS数据库当前仅允许从云主机内网访问,暂时不支持绑定公网IP地址远程访问和控制数据库。很多用户更习惯使用Windows上的图形客户端对数据库进行管理,如果有Windows云主机则可以远程桌面登录到Windows云主机上使用MySQLFront或Navicat等图形客户端访问MySQLRDS数据库,如果只有Linux云主机是不是就没有办法
天翼云安全一体化纵深体系是怎么炼成的?
随着数字化建设的推进,关键信息基础设施逐渐成为国家重要的战略资源,天翼云作为云计算的国家队与排头兵,一直以安全作为发展核心,深耕云原生技术,构建端到端安全,致力于突破关键核心技术,提高国产化能力,掌握核心竞争力,捍卫企业云上安全。打造云基础设施安全基石天翼云2431X的全国云网资源布局的每个资源池都配备了防火墙、WAF、AntiDDoS等高级安全组件,
虚拟主机和云服务器的区别
本文分享自天翼云开发者社区@《》,作者:AE86上山了虚拟主机和云服务器的区别1、云服务器可支持弹性扩展,按需付费,而虚拟主机不支持2、云服务器需要手动配置环境,虚拟主机无须配置环境3、云服务器是独享资源,虚拟主机的资源是共享的4、云服务器可远程桌面进行管
浅谈云主机在VPC中进行迁移的使用场景和操作方法
客户在天翼云购买一台云主机并且部署完成想要的应用后,发现云主机的IP地址规划存在问题(比如,要修改VPC、子网的网段)。这时候如果需要重新购买云主机并重新部署应用则将会大大增加客户的使用成本。天翼云网络的基本特点是按需、弹性,可以支持云主机在不同网络场景下的迁移,从而大大减少客户重新购买计算实例的成本。
天翼云云主机上搭建FTP服务最佳实践
天翼云用户在云主机上架设FTP服务器后,在VPC安全组里配置开放了21端口却发现仍然从外网连接不上FTP服务。这是由于FTP协议有它的特殊之处,本文将介绍在天翼云云主机上配置FTP服务器的难点。FTP协议的数据连接分为主动模式和被动模式两种方式,FTP默认使用主动模式。在主动模式下客户端随机开启一个大于1024的端口N,这里我们假定是12345端口吧,向服
windowsXP用户无法远程桌面连接天翼云2008云主机?
天翼云客户在使用WindowsXP或者Windows2003操作系统通过远程桌面连接Windows2008云主机时,可能出现提示“远程计算机需要网络级别身份验证,而您的计算机不支持该验证,请联系您的系统管理员或技术人员来获得帮助”。而使用Windows7以上Windows操作系统则能正常通过远程桌面连接云主机。这是由于由于安全原因,天翼云云主机默认将Wi
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
文章
722
粉丝
15
获赞
40