訪問控制
專有網絡VPC不僅可以通過網絡ACL實現訪問控制,還可以依賴各個云產品的訪問控制能力來實現安全訪問,例如云服務器ECS通過設置安全組來進行訪問控制,負載均衡SLB和云數據庫RDS通過白名單來進行訪問控制。本文介紹VPC訪問控制的幾種方式。
您可以通過以下幾種方式實現對VPC的訪問控制:
網絡ACL:網絡ACL是VPC中的網絡訪問控制功能。您可以自定義設置網絡ACL規則,并將網絡ACL與交換機綁定,實現對交換機中ECS實例的流量的訪問控制。
安全組:安全組是一種虛擬防火墻,具備狀態檢測和數據包過濾能力,用于在云端劃分安全域。通過配置安全組規則,您可以控制安全組內一臺或多臺ECS實例的入流量和出流量。
RDS白名單:在VPC中使用云數據庫RDS實例,需要將云服務器的IP地址加入到需要訪問的RDS的白名單中,云服務器才能訪問RDS實例,而其他IP地址將拒絕訪問RDS實例。
SLB白名單:負載均衡是將訪問流量根據轉發策略分發到后端多臺云服務器的流量分發控制服務。您可以為負載均衡監聽設置允許轉發請求的IP地址,適用于只允許特定IP訪問應用的場景。
網絡ACL和安全組的基本差異如下表所示。
與交換機綁定的網絡ACL規則控制流入和流出交換機的數據流,與ECS實例相關的安全組規則控制流入和流出ECS實例的數據流。
對比項 | 網絡ACL | 安全組 |
運行范圍 | 在交換機級別運行。 | 在ECS實例級別運行。 |
返回數據流狀態 | 無狀態:返回數據流必須被規則明確允許。 | 有狀態:返回數據流會被自動允許,不受任何規則的影響。 |
是否評估規則 | 不評估所有規則,按照規則的生效順序處理所有規則。 | 執行規則前,會評估所有規則。 |
與ECS實例的關聯關系 | ECS實例所屬的交換機僅允許綁定一個網絡ACL。 | 一個ECS實例可加入多個安全組。 |
網絡ACL和安全組提供的安全層如下圖所示。
