相對公網訪問,內網訪問對外部完全隔離,可以避免一些網路攻擊和非法訪問,適合對安全性和傳輸速度要求較高的內部通訊。內網訪問允許通過私網IP地址、私網網域名稱的方式進行定址,您可以通過網路ACL、安全性群組等方式實現VPC內不同ECS執行個體之間的存取控制。如果您有跨VPC進行資源訪問的需求,包括不同帳號間VPC內網互連、不同地區間VPC內網互連等,阿里雲也提供了雲企業網、VPC對等串連、私網串連等相應的解決方案。
內網訪問方式
使用私網IP地址進行內網訪問
私網IP一般指私網IPv4地址。私網IPv4地址是指無法通過互連網訪問的IPv4地址。您可以通過私網IPv4地址實現ECS執行個體與內網資源通訊,我們將使用動態主機設定通訊協定DHCP(Dynamic Host Configuration Protocol)將私網IPv4地址分配給ECS執行個體。
如果您需要在VPC中進行IPv6內網訪問,您可以在開通了IPv6網段的VPC和交換器下建立帶有IPv6地址的ECS執行個體。
更多資訊,請參見IP地址。
使用私網網域名稱進行內網訪問
在同一Virtual Private Cloud內,使用私網網域名稱進行ECS執行個體間的網路連接,可以避免因IP地址變動導致的服務訪問問題,極大地簡化大規模內部網路的管理,同時保持與公用互連網的分離,為內部通訊提供了更強的安全性和隔離性。
您可以在VPC啟用DNS主機名稱功能的前提下,通過為ECS執行個體配置私網網域名稱解析的方式實現私網網域名稱內網訪問,詳細資料,請參見ECS私網網域名稱解析。
內網存取控制
配置網路ACL實現存取控制
網路ACL是VPC中的網路存取控制功能。您可以自訂設定網路ACL規則,並將網路ACL與交換器綁定,實現對交換器中ECS執行個體的流量的存取控制。更多資訊,請參見網路ACL和建立和管理網路ACL。
您也可以通過網路ACL功能限制不同交換器下ECS執行個體的內網互連,詳細資料,請參見限制不同交換器下的ECS間的互連。
配置安全性群組規則實現存取控制
安全性群組是一種網卡粒度的虛擬防火牆,能夠控制ECS執行個體的出入流量,合理使用安全性群組可以有效提高執行個體的安全性。同一VPC下ECS執行個體之間可以通過安全性群組規則控制內網存取權限。
同一安全性群組:普通安全性群組預設支援組內互連功能,您可以將需要內網訪問的ECS執行個體配置在同一個普通安全性群組中,進而實現內網訪問。企業安全性群組只支援安全性群組內網路隔離。詳細資料,請參見修改普通安全性群組的組內連通策略。
跨安全性群組:當處於不同安全性群組的ECS執行個體希望實現內網訪問,或者當您需要企業級安全性群組(預設組內隔離,且無法修改組內連通策略)滿足精細存取控制、嚴格合規要求、處理複雜且動態變化的網路環境時,您可以通過授權安全性群組的方式實現內網訪問。詳細資料,請參見安全性群組應用指導和案例。
配置ECS主機系統防火牆
防火牆是可以協助電腦在內部網路和外部網路之間構建一道相對隔絕的保護屏障,從而保護資料資訊的一種技術。如果伺服器開啟了防火牆,並設定了屏蔽外界訪問的規則,那麼在遠端連線該伺服器時,可能會導致訪問失敗。詳情參考:
跨VPC內網互聯
當您需要在不同VPC中的資源之間建立安全且高效的私網通訊時,您可以通過Cloud Enterprise Network、VPC對等串連或PrivateLink等串連方式,滿足您跨VPC資源互聯的需求。
不同串連方式的實現、支援的地區、配置複雜度、支援互聯VPC的數量、收費等均有所不同,詳細資料,請參見跨VPC互聯。
相關文檔
如果您希望修改執行個體預設分配的主私網IP地址,請參見主私網IP。
當您有多私網IP的情境需求時,比如多應用、容錯移轉等業務情境,您可以通過為ECS執行個體分配多個輔助私網IP地址實現。詳細資料,請參見輔助私網IP。
關於安全性群組的使用,建議您遵循安全性群組最佳實務。
VPC邊界防火牆協助您檢測和管控Virtual Private Cloud(Virtual Private Cloud)之間、VPC和本機資料中心之間的流量。如果VPC同屬於一個雲企業網,或者已通過Express Connect串連,您可以建立VPC邊界防火牆,實現控制VPC之間、VPC與本機資料之間的訪問流量。
詳細資料,請參見VPC邊界防火牆。
