私有网络
- 云安全
- DDoS 基础防护DDoS 防护包Web 应用防火墙DDoS IP 高防主机安全安全说明SSL 数字证书态势感知Web应用安全网关密钥管理服务基线检测服务渗透测试服务应急响应服务漏洞扫描服务网站威胁扫描等保咨询服务数据加密服务网络安全重保服务安全培训安全通告服务代码审计服务安全咨询服务安全众测服务安全攻防演练服务PCI DSS 合规服务电子签章内容安全实名认证服务数据库审计DDoS 定制防护服务风险识别设备指纹安全运营中心验证码京东云星盾安全加速
- 人工智能
- NeuFoundry语音识别语音合成-基础音库人脸对比人脸搜索人脸检测与属性分析人脸活体检测词法分析句法分析情感分析短文本相似度评论观点抽取文本分类身份证识别行驶证识别银行卡识别通用文字识别营业执照识别增值税发票识别人体关键点检测人体检测特定人物识别拍照购智能鉴黄菜品识别商品竞争力分析车辆检测声纹识别语音合成-精品音库驾驶证识别车牌识别词向量词义相似度智能分诊新品定制老品升级细分市场划分品牌竞争力分析智能写作人脸口罩识别行人重识别细粒度人像分割通用图片搜索垃圾分类疫情物资识别商品图片搜索通用商品识别
产品文档
-
弹性计算
云主机云硬盘原生容器Kubernetes 集群容器镜像仓库高可用组弹性伸缩 -
网络
私有网络应用负载均衡网络负载均衡分布式网络负载均衡弹性公网 IP共享带宽包专线服务弹性网卡VPNNAT 网关 -
云数据库与缓存
云数据库 RDS云数据库 MongoDB分布式数据库 TiDB分布式关系型数据库 DRDS云缓存 Redis云缓存 Memcached数据传输 DTS分析型云数据库 JCHDB -
存储
对象存储存储网关云文件服务 -
CDN
CDN -
域名与备案
域名服务备案服务云解析 DNSHTTPDNS内网域名解析 -
云安全
DDoS 基础防护DDoS 防护包Web 应用防火墙DDoS IP 高防主机安全安全说明SSL 数字证书态势感知Web应用安全网关密钥管理服务基线检测服务渗透测试服务应急响应服务漏洞扫描服务网站威胁扫描等保咨询服务数据加密服务网络安全重保服务安全培训安全通告服务代码审计服务安全咨询服务安全众测服务安全攻防演练服务PCI DSS 合规服务电子签章内容安全实名认证服务数据库审计DDoS 定制防护服务风险识别设备指纹安全运营中心验证码京东云星盾安全加速 -
大数据与分析
JMRBI 报表京东城市莫奈可视化平台 -
管理
云监控云拨测资源编排访问控制DevOps标签管理目录服务日志服务操作审计堡垒机云事件服务身份通用户池项目管理京东智联云 App优化顾问 -
人工智能
NeuFoundry语音识别语音合成-基础音库人脸对比人脸搜索人脸检测与属性分析人脸活体检测词法分析句法分析情感分析短文本相似度评论观点抽取文本分类身份证识别行驶证识别银行卡识别通用文字识别营业执照识别增值税发票识别人体关键点检测人体检测特定人物识别拍照购智能鉴黄菜品识别商品竞争力分析车辆检测声纹识别语音合成-精品音库驾驶证识别车牌识别词向量词义相似度智能分诊新品定制老品升级细分市场划分品牌竞争力分析智能写作人脸口罩识别行人重识别细粒度人像分割通用图片搜索垃圾分类疫情物资识别商品图片搜索通用商品识别 -
智能IDC
机柜租赁带宽产品IT 设备安装定制巡检IDC 现场技术支持网络架构规划服务IDC 资产管理服务分布式接入服务服务器与网络监控服务一站式硬件解决方案服务网络托管运维服务托管物理计算云物理服务器云托管边缘物理计算服务数据同步服务边缘托管服务 -
京东云市场
云市场 -
VR 云服务
VR 直播VR 点播VR 播放器 SDK -
视频服务
视频直播媒体处理服务视频点播移动直播 SDK短视频 SDK视频电商播放器 SDK视频质量检测视音频通信 -
互联网中间件
消息队列 JCQAPI 网关云搜索 Elasticsearch微服务平台API 中心消息队列 Kafka 版分布式协调服务 Zookeeper 版 -
区块链
区块链数据服务智臻链 BaaS 平台 -
开发者工具
代码托管云编译云部署流水线性能测试制品库 -
企业应用
-
解决方案
Oracle 上云云安全白皮书 -
混合云
云纳管云迁移云容灾 -
物联网
物联网引擎物联网中心物联网智能边缘计算物联网设备 SDK京鱼座设备池开放物联网操作系统车主出行服务设备接入服务智能生活物联网平台 -
财务相关
账户资产在线购买付款方式发票计费代金券合同管理提货券 -
用户服务
账户管理实名认证消息中心操作保护 -
服务协议与保障
平台协议版权声明产品服务协议服务内容联系我们 -
云通信
文本短信富媒体短信物联网连接服务 -
专有云
京东云敏捷专有云京东云混合云
私有网络
基于安全组实现主机级别的访问控制
本文将详细介绍在各个场景中如何配置云主机的安全组规则,具体场景如下所示:
场景1:云主机内网间互相访问
场景描述
同一个地域内,同一个路由器下的云主机可以通过安全组规则设置云服务器之间内网是否互通。
配置建议
同一个安全组下的云服务器,默认内网互通。不同的安全组下的云服务器,默认内网不通。要实现内网互通,有以下解决办法:
- 方案 1:可以把云服务器放入到相同的安全组中,就可以满足内网都互通。
- 方案 2:如果云服务器不在同一个安全组内,两个安全组互相内网授权,在 访问源、 访问目标 中添加对方的 IP 地址即可。
场景2:云主机提供公网服务
场景描述
绑定了公网IP的云主机可以接受来自公网的访问,也可以主动访问公网。此时可以通过设置安全组规则保证只有特定的IP地址和端口才能与云主机通信。
配置建议
- 如果云主机需要提供Web服务,需要开发开放http/https协议使用的80/443端口。
- 对于运维主机所必须的端口,如22端口和3389端口,我们推荐您只对您需要管理云主机的IP开放安全组。
- 如果您管理云主机的公网IP地址范围固定:在安全组设置只有您的IP地址可以访问安全组的22端口和3389端口。
- 如果您管理云主机的公网IP地址范围不固定:允许一定IP端源地址访问远程管理端,具体IP段的范围请根据您所在网络情况确认。如需设置全部地址均可管理云主机,请输入0.0.0.0/0(设置为全部地址均可管理会增大您的安全组风险,请您谨慎使用)
推荐安全组策略(入站规则)
| 源地址 | 协议 | 端口 | Action | 说明 |
|---|---|---|---|---|
| 0.0.0.0/0 | tcp | 80 | 接受 | 允许从任何地方对Web服务器进行入站HTTP访问 |
| 0.0.0.0/0 | tcp | 443 | 接受 | 允许从任何地方对Web服务器进行入站HTTPS访问 |
| 您的公网IP地址范围 | tcp | 22 | 接受 | Linux主机允许来自用户网络的SSH远程登录 |
| 您的公网IP地址范围 | tcp | 3389 | 接受 | Windows主机允许来自用户网络的RDP远程登录 |
您的公网IP地址可以通过如下方式获取:
1.通过IP库进行查询
2.如果通过IP查询出的IP地址存在偏差,可以将源IP范围先配置成0.0.0.0/0。使用您当前的网络访问云主机,并在云主机上通过tcpdump获取源IP地址,之后将该源IP配置到安全组规则中。
场景3:使用SLB负载均衡提供公网服务
场景描述
负载均衡是对多台云服务器进行流量分发的负载均衡服务。SLB可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。
没有公网IP的云主机实例可以通过公网负载均衡接受来自公网的访问,但不可以主动向公网发起访问。
配置建议
- 安全组1为Internet提供Web服务,只对Internet开放http/https端口。
- 安全组2为安全组1提供应用服务,对安全组1开放应用服务端口。
推荐安全组策略(入站规则)
安全组1:
| 源地址 | 协议 | 端口 | Action | 备注 |
|---|---|---|---|---|
| 0.0.0.0/0 | tcp | 80 | 接受 | 允许从任何地方对Web服务器进行入站HTTP访问 |
| 0.0.0.0/0 | tcp | 443 | 接受 | 允许从任何地方对Web服务器进行入站HTTPS访问 |
| SLB系统网段 | All | -1/-1 | 接受 | 允许SLB系统访问安全组1 |
| 运维安全组 | tcp | 22 | 接受 | Linux实例允许来自运维安全组的入站SSH访问 |
| 运维安全组 | tcp | 3389 | 接受 | Windows实例允许来自运维安全组的入站RDP访问 |
安全组2:
| 源地址 | 协议 | 端口 | Action | 备注 |
|---|---|---|---|---|
| 安全组1 | tcp | 8080 | 接受 | 允许安全组1访问安全组2的应用服务端口 |
| SLB系统网段 | All | -1/-1 | 接受 | 允许SLB系统访问安全组2 |
| 运维安全组 | tcp | 22 | 接受 | Linux实例允许来自运维安全组的入站SSH访问 |
| 运维安全组 | tcp | 3389 | 接受 | Windows实例允许来自运维安全组的入站RDP访问 |
相关参考
更新时间:2021-08-16 10:01:07
