相對公網訪問,內網訪問對外部完全隔離,可以避免一些網絡攻擊和非法訪問,適合對安全性和傳輸速度要求較高的內部通信。內網訪問允許通過私網IP地址、私網域名的方式進行尋址,您可以通過網絡ACL、安全組等方式實現VPC內不同ECS實例之間的訪問控制。如果您有跨VPC進行資源訪問的需求,阿里云也提供了云企業網、VPN網關等相應的解決方案。
內網訪問方式
使用私網IP地址進行內網訪問
私網IP一般指私網IPv4地址。私網IPv4地址是指無法通過互聯網訪問的IPv4地址。您可以通過私網IPv4地址實現ECS實例與內網資源通信,我們將使用動態主機配置協議DHCP(Dynamic Host Configuration Protocol)將私網IPv4地址分配給ECS實例。分配給實例的私網IPv4地址必須屬于專有網絡VPC的交換機私網IPv4網段內,且不同實例的彈性網卡所分配的私網IPv4地址數量由實例規格決定。更多信息,請參見實例規格族中的單網卡私網IPv4地址數指標。
如果您需要在VPC中進行IPv6內網訪問,您可以在開通了IPv6網段的VPC和交換機下創建帶有IPv6地址的ECS實例。詳細信息,請參見ECS實現IPv6私網通信。
使用私網域名進行內網訪問
在同一專有網絡VPC內,使用私網域名進行ECS實例間的網絡連接,可以避免因IP地址變動導致的服務訪問問題,極大地簡化大規模內部網絡的管理,同時保持與公共互聯網的分離,為內部通信提供了更強的安全性和隔離性。
您可以在VPC啟用DNS主機名功能的前提下,通過為ECS實例配置私網域名解析的方式實現私網域名內網訪問,詳細信息,請參見ECS私網域名解析。
內網訪問控制
配置網絡ACL實現訪問控制
網絡ACL是VPC中的網絡訪問控制功能。您可以自定義設置網絡ACL規則,并將網絡ACL與交換機綁定,實現對交換機中ECS實例的流量的訪問控制。更多信息,請參見網絡ACL和創建和管理網絡ACL。
您也可以通過網絡ACL功能限制不同交換機下ECS實例的內網互通,詳細信息,請參見限制不同交換機下的ECS間的互通。
配置安全組規則實現訪問控制
安全組是一種網卡粒度的虛擬防火墻,能夠控制ECS實例的出入流量,合理使用安全組可以有效提高實例的安全性。同一VPC下ECS實例之間可以通過安全組規則控制內網訪問權限。
同一安全組:普通安全組默認支持組內互通功能,您可以將需要內網訪問的ECS實例配置在同一個普通安全組中,進而實現內網訪問。企業安全組只支持安全組內網絡隔離。詳細信息,請參見修改普通安全組的組內連通策略。
跨安全組:當處于不同安全組的ECS實例希望實現內網訪問,或者當您需要企業級安全組(默認組內隔離,且無法修改組內連通策略)滿足精細訪問控制、嚴格合規要求、處理復雜且動態變化的網絡環境時,您可以通過授權安全組的方式實現內網訪問。詳細信息,請參見安全組應用案例。
配置ECS主機系統防火墻
防火墻是可以幫助計算機在內部網絡和外部網絡之間構建一道相對隔絕的保護屏障,從而保護數據信息的一種技術。如果服務器開啟了防火墻,并設置了屏蔽外界訪問的規則,那么在遠程連接該服務器時,可能會導致訪問失敗。詳情參考:
跨VPC內網互聯
當您需要在不同VPC中的資源之間建立安全且高效的私網通信時,您可以通過云企業網、VPC對等連接或私網連接(PrivateLink)等連接方式,滿足您跨VPC資源互聯的需求。
不同連接方式的實現、支持的地域、配置復雜度、支持互聯VPC的數量、收費等均有所不同,詳細信息,請參見跨VPC互聯。
相關文檔
如果您希望修改實例默認分配的主私網IP地址,請參見修改私有IP地址。
當您有多私網IP的場景需求時,比如多應用、故障轉移等業務場景,您可以通過為ECS實例分配多個輔助私網IP地址實現。詳細信息,請參見分配輔助私網IP地址。
關于安全組的使用,建議您遵循安全組最佳實踐。
您還可以通過云防火墻統一管理ECS實例之間(東西向)、互聯網和ECS實例之間(南北向)的流量,限制ECS實例的未授權訪問。詳細信息,請參見通過云防火墻控制ECS實例間訪問。