Cloud Firewall通過業務間的流量可視化,協助使用者瞭解業務之間的訪問關係,以此判斷執行什麼樣的存取控制策略。
前提條件
在實現流量可視化之前,使用者需先建立業務區、應用組,並將應用添加到業務區和應用組,以建立應用和應用組、業務區之間的關係。
背景資訊
您需要提前瞭解以下概念:
業務區:業務區是東西向業務可視中,構成使用者某個業務的各個應用組的集合,通常是按您實際業務的類型進行分類。例如:門戶網站業務區(將包含Web應用組、DB應用組)等。
應用組:應用組是東西向業務可視中,提供的相同或相似服務的應用集合。例如:所有部署了MySQL的ECS可以歸屬到同一個DB應用組。
應用:應用是東西向業務可視的最小單位。預設情況下,一個應用等於一台ECS上所有開放連接埠的集合。您可以通過指定連接埠複製應用來建立新的應用。
步驟一:建立業務區
在左側導覽列,選擇。
在自訂分組頁面,單擊業務區。
在業務區頁簽,選擇您要建立的業務區所屬的VPC。
重要VPC包括使用者已有的VPC網路和ECS傳統網路。每個業務區必須並且只能屬於一個VPC。
單擊建立業務區。
在建立業務區對話方塊中配置業務區資訊。
名稱:業務區的命名,手動輸入。長度範圍為1~40個字元。
備忘:業務區的備忘資訊。
程度:業務區的重要程度,協助您在業務關係可視圖中清晰區分不同重要程度的業務區。可選擇一般、重要和非常重要3個程度。
您可以在應用分組可視頁面,通過篩選不同的重要程度等級,查看對應重要層級的業務區。
單擊確定,完成業務區的建立。
業務區建立完成後,會歸屬到您之前選擇的VPC中。您可在業務區列表中,對業務區基本資料進行編輯或刪除業務區。
說明業務區下存在應用組時,不可刪除業務區。
步驟二:建立應用組
在左側導覽列,選擇。
在自訂分組頁面,單擊應用組。
在應用組頁簽,選擇您要建立的應用組所屬的VPC。
單擊建立應用組。
在建立應用組對話方塊中配置應用組的資訊。
名稱:應用組的命名,手動輸入。長度範圍為1~40個字元。
備忘:應用組的備忘資訊。
程度:應用組的重要程度,協助您在業務關係可視圖中清晰區分不同重要程度的業務區。可選擇一般、重要和非常重要3個程度。
您可以在應用分組可視頁面,雙擊開啟某個業務區後,通過篩選不同的重要程度等級,查看對應重要層級的應用組。
業務區:可選選擇已有業務區和建立業務區。
選擇了選擇已有業務區選項,則需在下方名稱下拉框中選擇之前您已建立好的業務區名稱。
重要建立應用組後,該應用組將會被自動加到應用組歸屬的業務區所在的VPC。
如果選擇建立業務區,則需在下方填寫建立業務區的名稱、備忘資訊並選擇重要程度。
單擊確定,完成應用組的建立。
(可選步驟)單擊操作欄的分配,可修改應用組所屬的業務區。
完成業務區分配後,業務區頁面的應用組數量將會同步更新。
應用組建立完成後,還可在應用組列表中,對應用組的基本資料進行編輯或刪除應用組。
說明應用組下存在應用時,不可刪除應用組。
步驟三:為應用程式指派應用組和業務區
您可在應用頁面查看Cloud Firewall中已有的業務區、應用組、應用和ECS數量。
在左側導覽列,選擇。
在自訂分組頁面,單擊應用。
通過搜尋功能定位到需要操作的應用。
單擊操作欄的分配,將該應用添加到之前您已建立好的業務區和應用組中。
說明完成應用程式指派後,業務區頁面的業務區數量和應用組數量將會同步更新。
(可選步驟)您也可以在應用列表中,單擊右側操作欄的複製,複製現有的應用。
Cloud Firewall開通後會對每個ECS建立一個預設的應用,訪問ECS的流量會自動對應到該預設應用中。如果ECS中有多個應用屬於不同的業務類型,您可以通過複製操作建立新的應用,並為該應用程式指派另一個業務區和應用組。複製應用時,可對應用所屬的ECS執行個體ID、偵聽連接埠和進程名進行修改。