天翼云的每台云主机都处于一个称为虚构公有云(CT-VPC ,Virtual Private Cloud)的逻辑隔离的网络环境之下,云主机之间以及云主机与外网之间的网络互访靠什么来保障平安呢?这就是平安组。
平安组用来实现平安组内和以及平安组之间云主机的访问控制,增强云主机平安爱护。在定义平安组时,能够依照流量进出方向、协定、IP地址、端口来自定义拜访规定,当云主机退出平安组后,即受到这些拜访规定的爱护。
当创立一台云主机时,这台云主机就主动处于某一个平安组的爱护之下。如果没有额定手动创立的话,零碎将主动创立一个名称为Sys-default的默认平安组。
默认的平安组有两条规定:
第一条规定的作用是容许同一个平安组内的主机互访
第二条规定的作用是容许云主机拜访任意外网
其实还有第三条隐含的规定,即回绝所有入方向的流量。
为简化配置,平安组设计为只能容许的规定,不能配置回绝的规定,即可将平安组视为是一个默认出方向全副容许,入方向全副禁止的防火墙。
第二条规定容许云主机拜访任意外网好了解,那第一条规定容许同一个平安组内的主机互访该如何了解呢?
如果咱们有两台云主机 HostA和HostB,它们属于同一个VPC同一个子网,HostA的平安组为sgA,HostB的平安组为sgB
默认状况下,尽管HostA和HostB两台云主机在同一个子网,但因为两台云主机的平安组不同,导致相互之间不能互访。如果两台云主机属于同一个平安组下,则因为第一条平安组规定的作用,两台云主机相互之间能够拜访。
这时候如果要实现两台云主机互访,能够把两台云主机调整到同一个平安组,或者别离在sgA平安组上增加规定容许sgB平安组,在sgB平安组上增加规定容许sgA平安组。
同一个VPC内的云主机划分到不同的平安组实用于对平安配置要求十分精密的场景。
比方有三台服务器,Web服务器对外提供80端口Web接入,Web服务器向应用服务器8080端口发动利用申请,应用服务器再向数据库服务器3306端口发动数据库申请。
这时候咱们能够定义三个平安组,Web平安组容许外网拜访80端口、App平安组容许Web平安组拜访8080端口、DB平安组容许App平安组拜访3306端口。
当然绝大多数场景下同一个VPC内的云主机配置应用同一个平安组就足够了,不须要配置得这么简单。
上面看一个配置实例:
如果有一台Linux云主机须要运行web服务,端口应用80端口。并且须要通过ssh进行远程管理,能ping通云主机的弹性IP进行故障监控。
这时候应该怎么配置呢:
在天翼云平安组控制台,进入须要进行配置的平安组,点击“疾速增加规定”。方向抉择为入方向,勾选SSH、HTTP、HTTPS,源地址不批改保留为0.0.0.0/0,即源地址为所有地址,点击确定,实现增加。
这就容许所有用户拜访到云主机的22、80、443端口。
再增加一条规定,方向为入方向、协定为ICMP、类型抉择Any,IP地址放弃默认为0.0.0.0/0,点击确认,保留。则所有用户能ping通云主机的公网IP地址,便于进行疾速故障诊断。
天翼云平安组是独立于云主机操作系统的平安爱护策略,在部署利用后发现利用不能拜访最常见的问题就是平安组策略没有配置凋谢利用端口。