使用IP地址组提升安全组规则管理效率
应用场景
IP地址组是一个或者多个IP地址的集合,您可以在配置安全组规则的时候使用IP地址组。如果您变更了IP地址组内的IP地址,则相当于直接变更了这些IP地址对应的安全组规则,免去逐条修改安全组规则的工作量。
通常情况下,针对金融,证券等企业,在规划云上组网业务时,对安全性要求较高,实例内的访问控制需要制针对IP粒度进行配置。为了既能实现针对IP粒度的精细控制,又能确保安全组规则配置的简洁性,对于安全策略相同的IP网段和IP地址,建议您使用IP地址组降低管理安全组规则的工作量。关于IP地址组的更多信息,请参见IP地址组简介。
- 不使用IP地址组的情况下,工程师需要在多个安全组内,分别维护针对不同授权对象的多条安全组规则。一旦企业用户的IP地址发生变动,工程师需要逐个调整每个安全组内对应的规则。安全组数量和规则数量越多,管理工作量越大。
- 使用IP地址组的情况下,工程师可以将企业用户的IP地址添加到IP地址组内,并在安全组内添加针对该IP地址组的授权规则。当企业用户的IP地址发生变化时,工程师只需要在IP地址组内修改IP地址,那么IP地址组对应的安全组规则将会随之变更,无需修改每个安全组内的规则,降低了安全组管理的难度,提升效率。
方案架构
- 创建一个IP地址组,并添加待授权的IP地址。
- 分别在三个安全组入方向中,添加授权IP地址组访问的规则。
表1 安全组入方向规则说明 方向
策略
类型
协议端口
源地址
入方向
允许
IPv4
TCP: 22
IP地址组
- 如果后续允许访问实例的IP地址有变化,此时需要在IP地址组内修改IP地址条目,对应的安全组规则会自动生效。
约束与限制
对于关联IP地址组的安全组,其中IP地址组相关的规则对某些类型的云服务器不生效,不支持的规则如下:
- 通用计算型(S1型、C1型、C2型 )
- 内存优化型(M1型)
- 高性能计算型(H1型)
- 磁盘增强型( D1型)
- GPU加速型(G1型、G2型)
- 超大内存型(E1型、E2型、ET2型)
资源规划
本示例中需要规划的IP地址组和安全组资源需要位于同一个区域内,详细说明如表2所示。以下资源规划详情仅为示例,您可以根据需要自行修改。
资源类型 |
资源数量 |
说明 |
|---|---|---|
IP地址组 |
1 |
创建IP地址组,并添加指定IP地址。
|
安全组 |
3 |
在3个安全组中,均需要添加授权IP地址组访问的规则,具体如表3所示。 |
操作步骤
- 创建一个IP地址组,并添加指定IP地址。
具体操作请参见创建IP地址组。
- 在3个安全组中,分别添加授权IP地址组访问的规则。
具体操作请参见添加安全组规则。
添加完成后,允许来自11.xx.xx.64/32、116.xx.xx.252/30、113.xx.xx.0/25、183.xx.xx.208/28的流量访问安全组内实例的SSH(22)端口,通常用于远程登录Linux云服务器。
- 修改IP地址组内的IP地址条目。
如果添加安全组规则后,又需要为新增的IP地址添加授权规则,此时您需要在IP地址组内增加新的IP地址即可。比如,在IP地址组内增加网段117.xx.xx.0/25后,安全组规则自动生效,允许来自117.xx.xx.0/25的流量访问安全组内实例的SSH(22)端口。
具体操作请参见管理IP地址组内的IP地址条目。
