Virtual Private Cloud不僅可以通過網路ACL實現存取控制,還可以依賴各個雲產品的存取控制能力來實現安全訪問,例如Elastic Compute Service通過設定安全性群組來進行存取控制,Server Load Balancer和雲資料庫RDS通過白名單來進行存取控制。本文介紹VPC存取控制的幾種方式。
您可以通過以下幾種方式實現對VPC的存取控制:
網路ACL:網路ACL是VPC中的網路存取控制功能。您可以自訂設定網路ACL規則,並將網路ACL與交換器綁定,實現對交換器中ECS執行個體的流量的存取控制。
安全性群組:安全性群組是一種虛擬防火牆,具備狀態檢測和資料包過濾能力,用於在雲端劃分安全域。通過配置安全性群組規則,您可以控制安全性群組內一台或多台ECS執行個體的入流量和出流量。
RDS白名單:在VPC中使用雲資料庫RDS執行個體,需要將雲端服務器的IP地址加入到需要訪問的RDS的白名單中,雲端服務器才能訪問RDS執行個體,而其他IP地址將拒絕訪問RDS執行個體。
SLB白名單:負載平衡是將訪問流量根據轉寄策略分發到後端多台雲端服務器的流量分發控制服務。您可以為負載平衡監聽設定允許轉寄請求的IP地址,適用於只允許特定IP訪問應用的情境。
網路ACL和安全性群組的基本差異如下表所示。
與交換器綁定的網路ACL規則控制流程入和流出交換器的資料流,與ECS執行個體相關的安全性群組規則控制流程入和流出ECS執行個體的資料流。
對比項 | 網路ACL | 安全性群組 |
運行範圍 | 在交換器層級運行。 | 在ECS執行個體層級運行。 |
返回資料流狀態 | 無狀態:返回資料流必須被規則明確允許。 | 有狀態:返回資料流會被自動允許,不受任何規則的影響。 |
是否評估規則 | 不評估所有規則,按照規則的生效順序處理所有規則。 | 執行規則前,會評估所有規則。 |
與ECS執行個體的關聯關係 | ECS執行個體所屬的交換器僅允許綁定一個網路ACL。 | 一個ECS執行個體可加入多個安全性群組。 |
網路ACL和安全性群組提供的安全層如下圖所示。