虚拟私有云 VPC虚拟私有云 VPC

文档首页> 虚拟私有云 VPC> 最佳实践> 使用IP地址组降低安全组规则数
更新时间:2021/07/12 GMT+08:00
分享

使用IP地址组降低安全组规则数

操作场景

针对金融,证券等企业,在规划云上组网业务时,对安全性要求较高,主机内的访问控制针对IP粒度进行配置。为了既能保障客户安全组规则配置的简洁性,并为用户提供针对IP粒度的精细安全控制,推荐在如下场景中使用IP地址组。

  • 安全组规则使用超过40条。
  • 安全组下的多条规则中,满足五元组“方向,类型,协议,端口,地址”除地址外其他变量全部相同。

约束与限制

  • IP地址组功能目前仅在“华北-北京一”、“华北-北京四”、“华南-广州”、“西南-贵阳一”开放。
  • IP地址组内最多可配置20个IP地址或网段。

前提条件

用户使用安全组进行精细粒度的安全控制。

典型案例

例如,用户配置的安全组“A”包含如下规则。

方向

类型

协议

端口范围

目的地址/源地址

入方向

IPv4

TCP

22122

源地址:11.19.255.64/30

入方向

IPv4

TCP

22122

源地址:113.31.128.252/30

入方向

IPv4

TCP

22122

源地址:113.31.138.0/25

入方向

IPv4

TCP

22122

源地址:183.232.25.208/28

如上所示,安全组“A”的入方向存在四条端口、类型、协议均相同,但是IP地址不同的规则。针对此种情况,可以使用IP地址组对当前安全组进行改造重新配置。

操作步骤

创建IP地址组

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域和项目。
  3. 在系统首页,选择“网络 > 虚拟私有云”。
  4. 在左侧导航栏选择“访问控制 > IP地址组”。
  5. 单击“创建IP地址组”。
  6. 配置IP地址组参数。
    • 名称:ipGroup-A
    • IP地址:

      11.19.255.64/30

      113.31.128.252/30

      113.31.138.0/25

      183.232.25.208/28

      图1 创建IP地址组
  7. 单击“确定”。

添加安全组规则

  1. 在左侧导航栏选择“访问控制 > 安全组”。
  2. 单击安全组“A”所在行操作列下的“配置规则”。
  3. 选择“入方向规则”页签,并单击“添加规则”。
  4. 配置入方向规则参数。
    • 协议端口:TCP:22122
    • 类型:IPv4
    • 源地址:IP地址组:ipGroup-A
      图2 添加安全组规则
  5. 单击“确定”。

删除原有规则

  1. 创建完关联IP地址组的规则后,可以将原有相关规则删除。
分享:

    相关文档

    相关产品