使用安全组实现ECS实例间的内网互通
使用安全组实现ECS实例间的内网互通
2018-10-11 15:17:22

使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:

  • 场景 1:实例属于同一个地域、同一个账号
  • 场景 2:实例属于同一个地域、不同账号
 
说明

对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通

场景 1:同一地域、同一账号

同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:

  • VPC

    处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。

    网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象
    不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID
  • 经典网络

    在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象
    经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID
场景 2:同一地域、不同账号

这部分的描述仅适用于经典网络类型的ECS实例。

同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:

  • UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
  • UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
  • 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
    网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1
  • 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
    网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1
     
    说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是 a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。

阿里云产品

Copyright © 2017 www.aliyunvip.com All rights reserved. 阿里云金牌服务商 · 北京闻名天下科技有限公司