簡(jiǎn)介：本次內(nèi)容由阿里云智能技術(shù)專家王帝（丞浩）為大家介紹如何正確使用安全組、最佳實(shí)踐以及新特性；詳細(xì)了解安全組為何是云端的虛擬防火墻，以及為何是重要的網(wǎng)絡(luò)隔離手段。

演講嘉賓簡(jiǎn)介：王帝（丞浩），阿里云技術(shù)專家，2017年10月加入阿里云彈性計(jì)算團(tuán)隊(duì)，主要負(fù)責(zé)網(wǎng)絡(luò)安全組的優(yōu)化和演進(jìn)。

以下內(nèi)容根據(jù)演講視頻以及PPT整理而成。觀看回放
更多課程請(qǐng)進(jìn)入“玩轉(zhuǎn)ECS詳情頁(yè)”了解

使用過(guò)ECS的朋友一定不會(huì)對(duì)安全組陌生，他是ECS實(shí)例的虛擬防火墻。配置安全組是創(chuàng)建ECS實(shí)例或者發(fā)生網(wǎng)絡(luò)屬性變更必不可少的一步。下面我就為大家分享一下安全組的相關(guān)內(nèi)容。

本次分享主要圍繞以下三個(gè)部分，安全組的簡(jiǎn)介，基本操作和最佳實(shí)踐。

一、安全組簡(jiǎn)介

ECS網(wǎng)絡(luò)訪問(wèn)控制

首先什么是安全組，阿里云ECS的網(wǎng)絡(luò)訪問(wèn)控制，是由子網(wǎng)ACL和安全組兩層實(shí)現(xiàn)的。大家知道阿里云提供VPC專有網(wǎng)絡(luò)，是用戶獨(dú)有的云上私有網(wǎng)絡(luò)。VPC專用網(wǎng)絡(luò)為用戶獨(dú)立出一塊網(wǎng)絡(luò)區(qū)域，使得用戶可以自行規(guī)劃自己的網(wǎng)段，在沒(méi)有配置公網(wǎng)IP的情況下，VPC是完全與外界隔離的。

交換機(jī)綁定網(wǎng)絡(luò)ACL，ACL會(huì)對(duì)應(yīng)一些控制規(guī)則，所有經(jīng)過(guò)交換機(jī)的網(wǎng)絡(luò)流量都需經(jīng)過(guò)這些規(guī)則，一般配置的是黑名單規(guī)則(當(dāng)然也支持指定白名單)，例如不允許哪些網(wǎng)端的數(shù)據(jù)包流入或流出。

再往下一層就是我們今天要講的安全組，相對(duì)于子網(wǎng)ACL是生效在交換機(jī)上，安全組實(shí)例級(jí)別的防火墻，生效在ECS上面。所有經(jīng)過(guò)用戶的ECS網(wǎng)絡(luò)流量都需經(jīng)過(guò)安全組。

安全組是一種虛擬防火墻，具備狀態(tài)檢測(cè)和數(shù)據(jù)包過(guò)濾能力，用于在云端劃分安全域。通過(guò)配置安全組規(guī)則，您可以控制安全組內(nèi)ECS實(shí)例的入流量和出流量。

安全組是一個(gè)邏輯上的分組，由同一地域內(nèi)具有相同安全保護(hù)需求并相互信任的實(shí)例組成。此外，安全組與子網(wǎng)ACL之間的明顯區(qū)別是安全組具有狀態(tài)，安全組會(huì)自動(dòng)允許返回的數(shù)據(jù)流不受任何規(guī)則的影響，簡(jiǎn)單來(lái)說(shuō)就是主動(dòng)請(qǐng)求別人就一定會(huì)收到回包。而交換機(jī)則不是，入流量也會(huì)走一遍所設(shè)置的子網(wǎng)ACL規(guī)則，如果被攔截是收不到回包的。有些用戶會(huì)將安全組與iptables對(duì)比，其實(shí)這兩者是獨(dú)立的。

阿里建議用戶單獨(dú)使用安全組，如果用戶的場(chǎng)景需要配置iptables，ECS也是完全支持的。相對(duì)于子網(wǎng)ACL的黑名單方式，安全組一般是白名單。

ECS或彈性網(wǎng)卡必須至少屬于一個(gè)安全組，安全組組內(nèi)默認(rèn)互通可以配置規(guī)則控制網(wǎng)絡(luò)聯(lián)通。

二、安全組的基本操作

下面再給大家分享一下在阿里云ECS控制臺(tái)是如何操作管理安全組的。

為了方便理解，我們把對(duì)安全組的操作暫時(shí)分為兩類，組的操作和規(guī)則的操作。

組的操作是針對(duì)安全組本身的操作，比如創(chuàng)建、刪除、改名字，以及可能導(dǎo)致安全組內(nèi)IP發(fā)生變化的操作，還有組內(nèi)添加實(shí)例網(wǎng)卡、替換組等。規(guī)則的操作則是改變組內(nèi)規(guī)則的操作，比如添加，刪除，修改，克隆等操作。

先說(shuō)組的操作，比如組內(nèi)加減實(shí)例，網(wǎng)卡等操作比較簡(jiǎn)單，我們就不特別介紹了，重點(diǎn)介紹一下替換組。

替換組：實(shí)例可以從組A替換到組B，在替換過(guò)程中不會(huì)發(fā)生網(wǎng)絡(luò)閃斷或抖動(dòng)的情況，用戶只需保證新老組的規(guī)則是兼容的，在整個(gè)替換過(guò)程中不會(huì)對(duì)網(wǎng)絡(luò)有任何的影響和抖動(dòng)。

再說(shuō)規(guī)則的操作，我們重點(diǎn)介紹一下還原，導(dǎo)出導(dǎo)入，Classic Link和克隆組。

導(dǎo)出導(dǎo)入：將安全組下載成JSON文件或是CSV文件用于備份。

Classic Link：通過(guò)添加一條安全組規(guī)則實(shí)現(xiàn)VPC和經(jīng)典網(wǎng)絡(luò)之間的網(wǎng)絡(luò)聯(lián)通。

克隆組：克隆組支持跨地域或跨網(wǎng)絡(luò)類型的安全組復(fù)制，可以從經(jīng)典網(wǎng)絡(luò)到VPC或是到一個(gè)新Regen并快速?gòu)?fù)制一個(gè)組。

三、最佳實(shí)踐

最后再給大家介紹一下比較好的安全組配置實(shí)踐，比如如何合理的配置規(guī)則，如何使用五元組，如何基于安全組做斷網(wǎng)演練。

安全組規(guī)則格式

首先先介紹一下安全組規(guī)則配置有兩種方式：
CIDR：圖中示例展示，授權(quán)192.168.0.0/24的地址DR機(jī)器訪問(wèn)22端口。
組織授權(quán)：圖中示例展示，拒絕另一組訪問(wèn)的所有端口，完全切斷兩組之間的流量。
以上兩個(gè)示例都為入方向規(guī)則，一般情況下不知道對(duì)方使用哪個(gè)端口接連自己，所以不限制，區(qū)別在于自己任選哪個(gè)端口對(duì)外暴露給任意對(duì)象。

相對(duì)于上圖的四元組，阿里也支持五元組。

五元組為五個(gè)參數(shù)：源地址、源端口、目的地址、目的端口、傳輸層協(xié)議，相比四元組多了目的地址。以入方向規(guī)則為例，使用五元組可以實(shí)現(xiàn)不放行整個(gè)組，可單獨(dú)放行某一個(gè)IP段，這樣某些平臺(tái)內(nèi)網(wǎng)絡(luò)服務(wù)為了防范第三方產(chǎn)品對(duì)用戶ECS的實(shí)例發(fā)起非法訪問(wèn)，需要在安全組內(nèi)設(shè)置五元組規(guī)則，更精確的控制出和入的流量。另外，如果用戶組內(nèi)聯(lián)通策略是拒絕場(chǎng)景，想精確控制組內(nèi)ECS之間的聯(lián)通策略也需要使用五元組。五元組場(chǎng)景較為特殊，而絕大多數(shù)場(chǎng)景四元組是可以勝任的。

規(guī)則配置建議

先規(guī)劃對(duì)于分布式應(yīng)用來(lái)說(shuō)，不同的應(yīng)用類型應(yīng)放到不同組中。使用白名單方式管理安全組，不建議用戶使用先加一條低優(yōu)先級(jí)全通，再逐條拒絕的方式。要慎用0.0.0.0/0全通策略。遵守規(guī)則最小化配置原則。盡量使用CIDR段，因?yàn)閱谓M容量有限，而且CIDR地址段更容易擴(kuò)展和維護(hù)。不限制協(xié)議使用all，不是每個(gè)協(xié)議都配一遍。安全組規(guī)則變更非常高危，要認(rèn)真寫好備注以便于后續(xù)的維護(hù)。

潛在高危安全組概覽

阿里云ECS會(huì)定期檢查用戶的實(shí)例，如果實(shí)例暴露在公共環(huán)境并且開放高危端口，阿里會(huì)對(duì)用戶做出預(yù)警，且用戶在資源概覽頁(yè)面中可以查看自己的高危安全組。

如何給應(yīng)用劃分安全組

為了避免測(cè)試環(huán)境和正式環(huán)境之間互相干擾，阿里會(huì)將測(cè)試環(huán)境和正式環(huán)境放在不同VPC中進(jìn)行隔離。將有公網(wǎng)服務(wù)放在一組內(nèi)網(wǎng)服務(wù)放在一組。不同應(yīng)用類型應(yīng)使用不同安全組，例如Web服務(wù)、應(yīng)用服務(wù)、數(shù)據(jù)庫(kù)或緩存，都應(yīng)該放在不同安全組中。下圖中的示例，由于都需使用跳板機(jī)，所以都授權(quán)了跳板機(jī)組G1，Web服務(wù)器需要聯(lián)通應(yīng)用服務(wù)器，應(yīng)用服務(wù)器又需要聯(lián)通數(shù)據(jù)庫(kù)，所以分別做了組組授權(quán)。這樣做完網(wǎng)絡(luò)安全組的規(guī)劃使得應(yīng)用分層清晰，便于后續(xù)的維護(hù)，同時(shí)也滿足了隔離性和安全性的要求。

使用安全組進(jìn)行斷網(wǎng)演練

基于安全組可進(jìn)行斷網(wǎng)演練用于高可用容災(zāi)或混沌工程等場(chǎng)景，如下圖中case，演練數(shù)據(jù)掛掉時(shí)系統(tǒng)的表現(xiàn)，可以將此DB加入專門的斷網(wǎng)組，斷網(wǎng)組+全阻斷規(guī)格來(lái)實(shí)現(xiàn)快速規(guī)?；瘮嗑W(wǎng)。

拆解斷網(wǎng)過(guò)程

創(chuàng)建斷網(wǎng)組：因?yàn)榻M內(nèi)默認(rèn)聯(lián)通策略是組內(nèi)互通的，所以先改為組內(nèi)不互通。
加入實(shí)例：先將演練數(shù)據(jù)庫(kù)加入斷網(wǎng)組內(nèi)，這時(shí)對(duì)業(yè)務(wù)無(wú)任何影響且正常運(yùn)行。
添加規(guī)則：當(dāng)真正進(jìn)行斷網(wǎng)演練時(shí)需要執(zhí)行該步驟，給斷網(wǎng)組出和入各加一條全阻斷規(guī)則，加完后此時(shí)服務(wù)器的流量就會(huì)完全被切斷。
刪除規(guī)則：當(dāng)演練完畢后，需要將全阻斷規(guī)則刪除，即可恢復(fù)業(yè)務(wù)。
如果需要不定期做容災(zāi)演練，只需重復(fù)步驟三、四即可。

企業(yè)級(jí)安全組

傳統(tǒng)安全組組內(nèi)容量上限是2000IP，如要進(jìn)行更大規(guī)模則需使用企業(yè)組，企業(yè)組支持單組60000以上的IP，未來(lái)支持的容量會(huì)更多。

典型的企業(yè)組場(chǎng)景例如阿里云的容器服務(wù)ACK或是用戶自建K8s集群，其實(shí)ECS只是作為S層，ECS之間只需網(wǎng)絡(luò)互通即可。容器的網(wǎng)絡(luò)訪問(wèn)控制并不是安全組實(shí)現(xiàn)的，而是通過(guò)Network Policy等方式來(lái)實(shí)現(xiàn)的。下圖中的示例顯示是較為常見(jiàn)的部署方式，VPC下掛兩個(gè)虛擬交換機(jī)分別在兩個(gè)可用區(qū)做跨地域容災(zāi)，將所有實(shí)例放入一個(gè)組中，無(wú)需復(fù)雜的規(guī)則配置，只需配置內(nèi)網(wǎng)全通和出方向全通就可實(shí)現(xiàn)VPC內(nèi)互通。下圖中只配置了三條規(guī)則，兩條入方向全通和一條出方向全通，這是較為常見(jiàn)的容器服務(wù)安全組架構(gòu)。如果用戶不需要組組授權(quán)并且對(duì)組內(nèi)的實(shí)例規(guī)模有要求，那么請(qǐng)使用企業(yè)級(jí)安全組。如果當(dāng)前傳統(tǒng)組想切換至企業(yè)組，有兩種方式可實(shí)現(xiàn)，第一種新建一個(gè)企業(yè)組后采用替換組的方式將實(shí)例逐個(gè)挪入到企業(yè)組中，第二種是阿里協(xié)助用戶將原來(lái)的傳統(tǒng)組升級(jí)成企業(yè)組。

云產(chǎn)品托管安全組

用戶在使用阿里云云產(chǎn)品時(shí)，如云防火墻、NAT網(wǎng)關(guān)等，云產(chǎn)品都會(huì)替用戶創(chuàng)建安全組，為了避免用戶誤操作造成產(chǎn)品不可用，阿里采用了托管模式，托管組即用戶可建不可操作，避免產(chǎn)生問(wèn)題。

以上是對(duì)本次分享的全部，希望對(duì)大家有所幫助，謝謝各位。

---

關(guān)注百曉生，笑談云計(jì)算

原文鏈接：https://developer.aliyun.com/article/777623?

版權(quán)聲明：本文內(nèi)容由阿里云實(shí)名注冊(cè)用戶自發(fā)貢獻(xiàn)，版權(quán)歸原作者所有，阿里云開發(fā)者社區(qū)不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。具體規(guī)則請(qǐng)查看《阿里云開發(fā)者社區(qū)用戶服務(wù)協(xié)議》和《阿里云開發(fā)者社區(qū)知識(shí)產(chǎn)權(quán)保護(hù)指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容，填寫侵權(quán)投訴表單進(jìn)行舉報(bào)，一經(jīng)查實(shí)，本社區(qū)將立刻刪除涉嫌侵權(quán)內(nèi)容。

總結(jié)

以上是生活随笔為你收集整理的玩转ECS第5讲 | 弹性计算安全组最佳实践及新特性介绍的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。