文档首页/ 虚拟私有云 VPC/ 用户指南/ IP地址组/ IP地址组配置示例/ 使用IP地址组提升安全组规则管理效率
更新时间:2024-07-19 GMT+08:00
分享

使用IP地址组提升安全组规则管理效率

应用场景

IP地址组是一个或者多个IP地址的集合,您可以在配置安全组规则的时候使用IP地址组。如果您变更了IP地址组内的IP地址,则相当于直接变更了这些IP地址对应的安全组规则,免去逐条修改安全组规则的工作量。

通常情况下,针对金融,证券等企业,在规划云上组网业务时,对安全性要求较高,实例内的访问控制需要针对IP粒度进行配置。为了既能实现针对IP粒度的精细控制,又能确保安全组规则配置的简洁性,对于安全策略相同的IP网段和IP地址,建议您使用IP地址组降低管理安全组规则的工作量。关于IP地址组的更多信息,请参见IP地址组简介

例如,某企业在云上部署在线办公系统,为企业内不同部门提供服务,并且按照业务安全等级,将实例划分到多个安全组内。这些实例需要被企业内多个部门同时访问,企业内用户IP地址数量众多,且经常会发生变动。
  • 不使用IP地址组的情况下,工程师需要在多个安全组内,分别维护针对不同授权对象的多条安全组规则。一旦企业用户的IP地址发生变动,工程师需要逐个调整每个安全组内对应的规则。安全组数量和规则数量越多,管理工作量越大。
  • 使用IP地址组的情况下,工程师可以将企业用户的IP地址添加到IP地址组内,并在安全组内添加针对该IP地址组的授权规则。当企业用户的IP地址发生变化时,工程师只需要在IP地址组内修改IP地址,那么IP地址组对应的安全组规则将会随之变更,无需修改每个安全组内的规则,降低了安全组管理的难度,提升效率。

方案架构

本示例中,用户根据不同的安全要求,将实例划分在三个安全组内,同时,这些实例均需要允许特定IP地址访问SSH(22)端口,为了方便维护,采用IP地址组方案。
  1. 创建一个IP地址组,并添加待授权的IP地址。
  2. 分别在三个安全组入方向中,添加授权IP地址组访问的规则。
    表1 安全组入方向规则说明

    方向

    策略

    类型

    协议端口

    源地址

    入方向

    允许

    IPv4

    TCP: 22

    IP地址组

  3. 如果后续允许访问实例的IP地址有变化,此时需要在IP地址组内修改IP地址条目,对应的安全组规则会自动生效。

约束与限制

对于关联IP地址组的安全组,其中IP地址组相关的规则对某些类型的云服务器不生效,不支持的类型如下:

  • 通用计算型(S1型、C1型、C2型 )
  • 内存优化型(M1型)
  • 高性能计算型(H1型)
  • 磁盘增强型( D1型)
  • GPU加速型(G1型、G2型)
  • 超大内存型(E1型、E2型、ET2型)

资源规划

本示例中需要规划的IP地址组和安全组资源需要位于同一个区域内,详细说明如表2所示。以下资源规划详情仅为示例,您可以根据需要自行修改。

表2 资源规划说明

资源类型

资源数量

说明

IP地址组

1

创建IP地址组,并添加指定IP地址。
  • 名称:ipGroup-A
  • 最大条目数:请根据实际情况填写,本示例为20。
  • IP类型:请根据实际情况填写,本示例为IPv4。
  • IP地址条目:
    • 11.xx.xx.64/32
    • 116.xx.xx.252/30
    • 113.xx.xx.0/25
    • 183.xx.xx.208/28

安全组

3

在3个安全组中,均需要添加授权IP地址组访问的规则,具体如表3所示。

表3 安全组入方向规则说明

方向

策略

类型

协议端口

源地址

入方向

允许

IPv4

TCP: 22

ipGroup-A

操作步骤

  1. 创建一个IP地址组,并添加指定IP地址。

    具体操作请参见创建IP地址组

  2. 在3个安全组中,分别添加授权IP地址组访问的规则。

    具体操作请参见添加安全组规则

    添加完成后,允许来自11.xx.xx.64/32、116.xx.xx.252/30、113.xx.xx.0/25、183.xx.xx.208/28的流量访问安全组内实例的SSH(22)端口,通常用于远程登录Linux云服务器。

  3. 修改IP地址组内的IP地址条目。

    如果添加安全组规则后,又需要为新增的IP地址添加授权规则,此时您需要在IP地址组内增加新的IP地址即可。比如,在IP地址组内增加网段117.xx.xx.0/25后,安全组规则自动生效,允许来自117.xx.xx.0/25的流量访问安全组内实例的SSH(22)端口。

    具体操作请参见管理IP地址组内的IP地址条目

相关文档