安全性群組用於配置單台或多台ECS執行個體的網路存取控制,是雲端重要的網路安全隔離手段。它能精確控制源IP、源連接埠、目的IP、目的連接埠以及傳輸層協議,以實現對網路流量的精細化管理。本文主要介紹五元組規則的定義、應用情境、配置方法以及相關參數說明。
背景資訊
在最初設計安全性群組規則時:
安全性群組入規則只支援:源IP地址、目的連接埠、傳輸層協議。
安全性群組出規則只支援:目的IP地址、目的連接埠、傳輸層協議。
在多數應用情境下,該安全性群組規則簡化了設定,但存在如下弊端:
無法限定入規則的源連接埠範圍,預設允許存取所有源連接埠。
無法限定入規則的目的IP地址,預設允許存取安全性群組下的所有IP地址。
無法限定出規則的源連接埠範圍,預設允許存取所有源連接埠。
無法限定出規則的源IP地址,預設允許存取安全性群組下的所有IP地址。
五元組規則定義
五元組規則包含:源IP地址、源連接埠、目的IP地址、目的連接埠、傳輸層協議。
五元組規則完全相容原有的安全性群組規則,能更精確地控制源IP地址、源連接埠、目的IP地址、目的連接埠以及傳輸層協議。
五元組出規則樣本如下:
源IP地址:172.16.1.0/32
源連接埠:22
目的IP:10.0.0.1/32
目的連接埠:不限制
傳輸層協議:TCP
授權策略:Drop樣本中的出規則表示禁止172.16.1.0/32通過22連接埠對10.0.0.1/32發起TCP訪問。
應用情境
某些平台類網路產品接入第三方廠商的解決方案為使用者提供網路服務。為了防範這些產品對使用者的ECS執行個體發起非法訪問,需要在安全性群組內設定五元組規則,以更精確地控制出流量和入流量。
設定了組內網路隔離的安全性群組,如果您想精確控制組內若干ECS執行個體之間可以互相訪問,則需要在安全性群組內設定五元組規則。
配置五元組規則
您可以調用以下API介面配置五元組規則。
如果您需要在控制台配置五元組規則,請先提交工單申請。
參數說明
在授權或解除授權時,各參數的含義如下表所示。
參數 | 入規則中各參數含義 | 出規則中各參數含義 |
SecurityGroupId | 當前入規則所屬的安全性群組ID,即目的安全性群組ID。 | 當前出規則所屬的安全性群組ID,即源安全性群組ID。 |
DestCidrIp | 目的IP範圍,選擇性參數。
| 目的IP,DestGroupId與DestCidrIp二者必選其一,如果二者都指定,則DestCidrIp優先順序高。 |
PortRange | 目的連接埠範圍,必選參數 | 目的連接埠範圍,必選參數。 |
DestGroupId | 不允許輸入。目的安全性群組ID一定是SecurityGroupId。 | 目的安全性群組ID。DestGroupId與DestCidrIp二者必選其一,如果二者都指定,則DestCidrIp優先順序高。 |
SourceGroupId | 源安全性群組ID,SourceGroupId與SourceCidrIp二者必選其一,如果二者都指定,則SourceCidrIp優先順序高。 | 不允許輸入,出規則的源安全性群組ID一定是SecurityGroupId。 |
SourceCidrIp | 源IP範圍,SourceGroupId與SourceCidrIp二者必選其一,如果二者都指定,則SourceCidrIp優先順序高。 | 源IP範圍,選擇性參數。
|
SourcePortRange | 源連接埠範圍,選擇性參數,不填則不限制源連接埠。 | 源連接埠範圍,選擇性參數,不填則不限制源連接埠。 |