本文为您介绍如何通过网络ACL功能限制不同交换机下ECS实例的互通。
前提条件
背景信息
某公司在云上创建了专有网络,在专有网络中创建了两个交换机,交换机1下创建了ECS1实例(192.168.1.206),交换机2下创建了ECS2实例(192.168.0.229)和ECS3实例(192.168.0.230)。因公司业务需要,要求ECS实例间、ECS与互联网间必须满足以下互通关系。
禁止ECS1实例、ECS2实例、ECS3实例与互联网互通。
禁止ECS1与ECS3互通。
允许ECS1与ECS2互通。
如上图,您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS流量的访问控制。
步骤一:创建网络ACL
- 登录专有网络管理控制台。
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择网络ACL的地域。
在网络ACL页面,单击创建网络ACL。
在创建网络ACL对话框中,根据以下信息配置网络ACL,然后单击确定。
所属专有网络:选择网络ACL所属的专有网络。
名称:输入网络ACL的名称。
描述:输入网络ACL的描述。
步骤二:绑定交换机
将交换机1和交换机2绑定至网络ACL。
- 登录专有网络管理控制台。
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择网络ACL的地域。
- 在网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
在已绑定资源页签下,单击关联交换机。
在关联交换机对话框,选择交换机1和交换机2,然后单击确定关联。
步骤三:添加网络ACL规则
为网络ACL添加入方向规则和出方向规则。
- 登录专有网络管理控制台。
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择网络ACL的地域。
在网络ACL页面,找到目标网络ACL,然后在操作列单击设置入方向规则。
在入方向规则页签下,单击管理入方向规则。
根据以下信息配置入方向规则,然后单击确定。
优先级
规则名称
策略
协议类型
源地址
源端口范围
1
允许来自ECS2的流量
允许
ALL
192.168.0.229/32
-1/-1
2
允许来自ECS1的流量
允许
ALL
192.168.1.206/32
-1/-1
3
拒绝来自所有地址的流量
拒绝
ALL
0.0.0.0/0
-1/-1
单击出方向规则页签,然后单击管理出方向规则。
根据以下信息配置出方向规则,然后单击确定。
优先级
规则名称
策略
协议类型
目的地址
目的端口范围
1
允许去往ECS2的流量
允许
ALL
192.168.0.229/32
-1/-1
2
允许去往ECS1的流量
允许
ALL
192.168.1.206/32
-1/-1
3
拒绝去往所有地址的流量
拒绝
ALL
0.0.0.0/0
-1/-1
步骤四:测试连通性
测试ECS实例间、ECS实例与互联网间的连通性。
