天翼云的每台云主机都处于一个称为虚构公有云(CT-VPC,Virtual Private Cloud)的逻辑隔离的网络环境之下,云主机之间以及云主机与外网之间的网络互访靠什么来保障平安呢? 这就是平安组。
平安组用来实现平安组内和以及平安组之间云主机的访问控制,增强云主机平安爱护。在定义平安组时,能够依照流量进出方向、协定、IP 地址、端口来自定义拜访规定,当云主机退出平安组后,即受到这些拜访规定的爱护。
当创立一台云主机时,这台云主机就主动处于某一个平安组的爱护之下。如果没有额定手动创立的话,零碎将主动创立一个名称为 Sys-default 的默认平安组。
默认的平安组有两条规定:
第一条规定的作用是容许同一个平安组内的主机互访
第二条规定的作用是容许云主机拜访任意外网
其实还有第三条隐含的规定,即回绝所有入方向的流量。
为简化配置,平安组设计为只能容许的规定,不能配置回绝的规定,即可将平安组视为是一个默认出方向全副容许,入方向全副禁止的防火墙。
第二条规定容许云主机拜访任意外网好了解,那第一条规定容许同一个平安组内的主机互访该如何了解呢?
如果咱们有两台云主机 HostA 和 HostB,它们属于同一个 VPC 同一个子网,HostA 的平安组为 sgA,HostB 的平安组为 sgB
默认状况下,尽管 HostA 和 HostB 两台云主机在同一个子网,但因为两台云主机的平安组不同,导致相互之间不能互访。如果两台云主机属于同一个平安组下,则因为第一条平安组规定的作用,两台云主机相互之间能够拜访。
这时候如果要实现两台云主机互访,能够把两台云主机调整到同一个平安组,或者别离在 sgA 平安组上增加规定容许 sgB 平安组,在 sgB 平安组上增加规定容许 sgA 平安组。
同一个 VPC 内的云主机划分到不同的平安组实用于对平安配置要求十分精密的场景。
比方有三台服务器,Web 服务器对外提供 80 端口 Web 接入,Web 服务器向应用服务器 8080 端口发动利用申请,应用服务器再向数据库服务器 3306 端口发动数据库申请。
这时候咱们能够定义三个平安组,Web 平安组容许外网拜访 80 端口、App 平安组容许 Web 平安组拜访 8080 端口、DB 平安组容许 App 平安组拜访 3306 端口。
当然绝大多数场景下同一个 VPC 内的云主机配置应用同一个平安组就足够了,不须要配置得这么简单。
上面看一个配置实例:
如果有一台 Linux 云主机须要运行 web 服务,端口应用 80 端口。并且须要通过 ssh 进行远程管理,能 ping 通云主机的弹性 IP 进行故障监控。
这时候应该怎么配置呢:
在天翼云平安组控制台,进入须要进行配置的平安组,点击“疾速增加规定”。方向抉择为入方向,勾选 SSH、HTTP、HTTPS,源地址不批改保留为 0.0.0.0/0,即源地址为所有地址,点击确定,实现增加。
这就容许所有用户拜访到云主机的 22、80、443 端口。
再增加一条规定,方向为入方向、协定为 ICMP、类型抉择 Any,IP 地址放弃默认为 0.0.0.0/0,点击确认,保留。则所有用户能 ping 通云主机的公网 IP 地址,便于进行疾速故障诊断。
天翼云平安组是独立于云主机操作系统的平安爱护策略,在部署利用后发现利用不能拜访最常见的问题就是平安组策略没有配置凋谢利用端口。