訪問(wèn)控制
專有網(wǎng)絡(luò)VPC不僅可以通過(guò)網(wǎng)絡(luò)ACL實(shí)現(xiàn)訪問(wèn)控制,還可以依賴各個(gè)云產(chǎn)品的訪問(wèn)控制能力來(lái)實(shí)現(xiàn)安全訪問(wèn),例如云服務(wù)器ECS通過(guò)設(shè)置安全組來(lái)進(jìn)行訪問(wèn)控制,負(fù)載均衡SLB和云數(shù)據(jù)庫(kù)RDS通過(guò)白名單來(lái)進(jìn)行訪問(wèn)控制。本文介紹VPC訪問(wèn)控制的幾種方式。
您可以通過(guò)以下幾種方式實(shí)現(xiàn)對(duì)VPC的訪問(wèn)控制:
網(wǎng)絡(luò)ACL:網(wǎng)絡(luò)ACL是VPC中的網(wǎng)絡(luò)訪問(wèn)控制功能。您可以自定義設(shè)置網(wǎng)絡(luò)ACL規(guī)則,并將網(wǎng)絡(luò)ACL與交換機(jī)綁定,實(shí)現(xiàn)對(duì)交換機(jī)中ECS實(shí)例的流量的訪問(wèn)控制。
安全組:安全組是一種虛擬防火墻,具備狀態(tài)檢測(cè)和數(shù)據(jù)包過(guò)濾能力,用于在云端劃分安全域。通過(guò)配置安全組規(guī)則,您可以控制安全組內(nèi)一臺(tái)或多臺(tái)ECS實(shí)例的入流量和出流量。
RDS白名單:在VPC中使用云數(shù)據(jù)庫(kù)RDS實(shí)例,需要將云服務(wù)器的IP地址加入到需要訪問(wèn)的RDS的白名單中,云服務(wù)器才能訪問(wèn)RDS實(shí)例,而其他IP地址將拒絕訪問(wèn)RDS實(shí)例。
SLB白名單:負(fù)載均衡是將訪問(wèn)流量根據(jù)轉(zhuǎn)發(fā)策略分發(fā)到后端多臺(tái)云服務(wù)器的流量分發(fā)控制服務(wù)。您可以為負(fù)載均衡監(jiān)聽(tīng)設(shè)置允許轉(zhuǎn)發(fā)請(qǐng)求的IP地址,適用于只允許特定IP訪問(wèn)應(yīng)用的場(chǎng)景。
網(wǎng)絡(luò)ACL和安全組的基本差異如下表所示。
與交換機(jī)綁定的網(wǎng)絡(luò)ACL規(guī)則控制流入和流出交換機(jī)的數(shù)據(jù)流,與ECS實(shí)例相關(guān)的安全組規(guī)則控制流入和流出ECS實(shí)例的數(shù)據(jù)流。
對(duì)比項(xiàng) | 網(wǎng)絡(luò)ACL | 安全組 |
運(yùn)行范圍 | 在交換機(jī)級(jí)別運(yùn)行。 | 在ECS實(shí)例級(jí)別運(yùn)行。 |
返回?cái)?shù)據(jù)流狀態(tài) | 無(wú)狀態(tài):返回?cái)?shù)據(jù)流必須被規(guī)則明確允許。 | 有狀態(tài):返回?cái)?shù)據(jù)流會(huì)被自動(dòng)允許,不受任何規(guī)則的影響。 |
是否評(píng)估規(guī)則 | 不評(píng)估所有規(guī)則,按照規(guī)則的生效順序處理所有規(guī)則。 | 執(zhí)行規(guī)則前,會(huì)評(píng)估所有規(guī)則。 |
與ECS實(shí)例的關(guān)聯(lián)關(guān)系 | ECS實(shí)例所屬的交換機(jī)僅允許綁定一個(gè)網(wǎng)絡(luò)ACL。 | 一個(gè)ECS實(shí)例可加入多個(gè)安全組。 |
網(wǎng)絡(luò)ACL和安全組提供的安全層如下圖所示。
