简介：本次内容由阿里云智能技术专家王帝（丞浩）为大家介绍如何正确使用安全组、最佳实践以及新特性；详细了解安全组为何是云端的虚拟防火墙，以及为何是重要的网络隔离手段。

演讲嘉宾简介：王帝（丞浩），阿里云技术专家，2017年10月加入阿里云弹性计算团队，主要负责网络安全组的优化和演进。

以下内容根据演讲视频以及PPT整理而成。观看回放
更多课程请进入“玩转ECS详情页”了解

使用过ECS的朋友一定不会对安全组陌生，他是ECS实例的虚拟防火墙。配置安全组是创建ECS实例或者发生网络属性变更必不可少的一步。下面我就为大家分享一下安全组的相关内容。

本次分享主要围绕以下三个部分，安全组的简介，基本操作和最佳实践。

一、安全组简介

ECS网络访问控制

首先什么是安全组，阿里云ECS的网络访问控制，是由子网ACL和安全组两层实现的。大家知道阿里云提供VPC专有网络，是用户独有的云上私有网络。VPC专用网络为用户独立出一块网络区域，使得用户可以自行规划自己的网段，在没有配置公网IP的情况下，VPC是完全与外界隔离的。

交换机绑定网络ACL，ACL会对应一些控制规则，所有经过交换机的网络流量都需经过这些规则，一般配置的是黑名单规则(当然也支持指定白名单)，例如不允许哪些网端的数据包流入或流出。

再往下一层就是我们今天要讲的安全组，相对于子网ACL是生效在交换机上，安全组实例级别的防火墙，生效在ECS上面。所有经过用户的ECS网络流量都需经过安全组。

安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。通过配置安全组规则，您可以控制安全组内ECS实例的入流量和出流量。

安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。此外，安全组与子网ACL之间的明显区别是安全组具有状态，安全组会自动允许返回的数据流不受任何规则的影响，简单来说就是主动请求别人就一定会收到回包。而交换机则不是，入流量也会走一遍所设置的子网ACL规则，如果被拦截是收不到回包的。有些用户会将安全组与iptables对比，其实这两者是独立的。

阿里建议用户单独使用安全组，如果用户的场景需要配置iptables，ECS也是完全支持的。相对于子网ACL的黑名单方式，安全组一般是白名单。

ECS或弹性网卡必须至少属于一个安全组，安全组组内默认互通可以配置规则控制网络联通。

二、安全组的基本操作

下面再给大家分享一下在阿里云ECS控制台是如何操作管理安全组的。

为了方便理解，我们把对安全组的操作暂时分为两类，组的操作和规则的操作。

组的操作是针对安全组本身的操作，比如创建、删除、改名字，以及可能导致安全组内IP发生变化的操作，还有组内添加实例网卡、替换组等。规则的操作则是改变组内规则的操作，比如添加，删除，修改，克隆等操作。

先说组的操作，比如组内加减实例，网卡等操作比较简单，我们就不特别介绍了，重点介绍一下替换组。

替换组：实例可以从组A替换到组B，在替换过程中不会发生网络闪断或抖动的情况，用户只需保证新老组的规则是兼容的，在整个替换过程中不会对网络有任何的影响和抖动。

再说规则的操作，我们重点介绍一下还原，导出导入，Classic Link和克隆组。

导出导入：将安全组下载成JSON文件或是CSV文件用于备份。

Classic Link：通过添加一条安全组规则实现VPC和经典网络之间的网络联通。

克隆组：克隆组支持跨地域或跨网络类型的安全组复制，可以从经典网络到VPC或是到一个新Regen并快速复制一个组。

三、最佳实践

最后再给大家介绍一下比较好的安全组配置实践，比如如何合理的配置规则，如何使用五元组，如何基于安全组做断网演练。

安全组规则格式

首先先介绍一下安全组规则配置有两种方式：
CIDR：图中示例展示，授权192.168.0.0/24的地址DR机器访问22端口。
组织授权：图中示例展示，拒绝另一组访问的所有端口，完全切断两组之间的流量。
以上两个示例都为入方向规则，一般情况下不知道对方使用哪个端口接连自己，所以不限制，区别在于自己任选哪个端口对外暴露给任意对象。

相对于上图的四元组，阿里也支持五元组。

五元组为五个参数：源地址、源端口、目的地址、目的端口、传输层协议，相比四元组多了目的地址。以入方向规则为例，使用五元组可以实现不放行整个组，可单独放行某一个IP段，这样某些平台内网络服务为了防范第三方产品对用户ECS的实例发起非法访问，需要在安全组内设置五元组规则，更精确的控制出和入的流量。另外，如果用户组内联通策略是拒绝场景，想精确控制组内ECS之间的联通策略也需要使用五元组。五元组场景较为特殊，而绝大多数场景四元组是可以胜任的。

规则配置建议

先规划对于分布式应用来说，不同的应用类型应放到不同组中。使用白名单方式管理安全组，不建议用户使用先加一条低优先级全通，再逐条拒绝的方式。要慎用0.0.0.0/0全通策略。遵守规则最小化配置原则。尽量使用CIDR段，因为单组容量有限，而且CIDR地址段更容易扩展和维护。不限制协议使用all，不是每个协议都配一遍。安全组规则变更非常高危，要认真写好备注以便于后续的维护。

潜在高危安全组概览

阿里云ECS会定期检查用户的实例，如果实例暴露在公共环境并且开放高危端口，阿里会对用户做出预警，且用户在资源概览页面中可以查看自己的高危安全组。

如何给应用划分安全组

为了避免测试环境和正式环境之间互相干扰，阿里会将测试环境和正式环境放在不同VPC中进行隔离。将有公网服务放在一组内网服务放在一组。不同应用类型应使用不同安全组，例如Web服务、应用服务、数据库或缓存，都应该放在不同安全组中。下图中的示例，由于都需使用跳板机，所以都授权了跳板机组G1，Web服务器需要联通应用服务器，应用服务器又需要联通数据库，所以分别做了组组授权。这样做完网络安全组的规划使得应用分层清晰，便于后续的维护，同时也满足了隔离性和安全性的要求。

使用安全组进行断网演练

基于安全组可进行断网演练用于高可用容灾或混沌工程等场景，如下图中case，演练数据挂掉时系统的表现，可以将此DB加入专门的断网组，断网组+全阻断规格来实现快速规模化断网。

拆解断网过程

创建断网组：因为组内默认联通策略是组内互通的，所以先改为组内不互通。
加入实例：先将演练数据库加入断网组内，这时对业务无任何影响且正常运行。
添加规则：当真正进行断网演练时需要执行该步骤，给断网组出和入各加一条全阻断规则，加完后此时服务器的流量就会完全被切断。
删除规则：当演练完毕后，需要将全阻断规则删除，即可恢复业务。
如果需要不定期做容灾演练，只需重复步骤三、四即可。

企业级安全组

传统安全组组内容量上限是2000IP，如要进行更大规模则需使用企业组，企业组支持单组60000以上的IP，未来支持的容量会更多。

典型的企业组场景例如阿里云的容器服务ACK或是用户自建K8s集群，其实ECS只是作为S层，ECS之间只需网络互通即可。容器的网络访问控制并不是安全组实现的，而是通过Network Policy等方式来实现的。下图中的示例显示是较为常见的部署方式，VPC下挂两个虚拟交换机分别在两个可用区做跨地域容灾，将所有实例放入一个组中，无需复杂的规则配置，只需配置内网全通和出方向全通就可实现VPC内互通。下图中只配置了三条规则，两条入方向全通和一条出方向全通，这是较为常见的容器服务安全组架构。如果用户不需要组组授权并且对组内的实例规模有要求，那么请使用企业级安全组。如果当前传统组想切换至企业组，有两种方式可实现，第一种新建一个企业组后采用替换组的方式将实例逐个挪入到企业组中，第二种是阿里协助用户将原来的传统组升级成企业组。

云产品托管安全组

用户在使用阿里云云产品时，如云防火墙、NAT网关等，云产品都会替用户创建安全组，为了避免用户误操作造成产品不可用，阿里采用了托管模式，托管组即用户可建不可操作，避免产生问题。

以上是对本次分享的全部，希望对大家有所帮助，谢谢各位。

---

关注百晓生，笑谈云计算

原文链接：https://developer.aliyun.com/article/777623?

版权声明：本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

玩转ECS第5讲 | 弹性计算安全组最佳实践及新特性介绍相关推荐

1. 玩转ECS第8讲 | 服务器迁移中心SMC最佳实践及新特性介绍

   简介:本次分享由阿里云技术专家白辉万(百宝)为大家介绍免费的服务器迁移上云最佳实践方案和新功能特性,包括一键迁云.自动定期同步.一键验证.本次分享内容将帮助企业上云客户越过高高的服务器迁移门槛,快速体 ...

2. 玩转ECS第6讲 | 弹性计算Region化部署和跨可用区容灾介绍

   简介:本次分享由阿里云弹性计算架构负责人李钟(谢顿)为大家介绍阿里云region化部署和跨可用区容灾的实践经验,说明多Region部署场景中使用阿里云弹性计算的最佳实践,并结合弹性计算的实践经验探讨如 ...

3. 玩转ECS第6讲 | 弹性计算 Region 化部署和跨可用区容灾介绍

   本次分享主要围绕以下三个方面: 一.Region和可用区介绍 二.Endpoints和资源作用域 三.多可用区容灾和Region化部署 弹性计算Region化部署和跨可用区容灾本身是非常复杂的课题,本 ...

4. 实时计算 Flink 版 最佳实践

   简介: 实时计算 Flink 版 最佳实践目录 金融行业 行业背景 金融是现代经济的核心.我国金融业在市场化改革和对外开放中不断发展,金融总量大幅增长.金融稳定直接关系到国家经济发展的前途和命运,金融 ...

5. 玩转ECS第7讲 | ECS数据保护-数据备份新特性与最佳实践

   简介:本文中,阿里云智能弹性计算专家余初武(悟元)将结合阿里云近期推出的数据备份新特性(快照极速备份.一致性快照组)来介绍云上环境如何做数据备份的最佳实践:适合需要构建云上架构的工程师,架构师和云上实 ...

6. 发现在创建云服务器ecs实例的磁盘快照时_玩转ECS第7讲｜ECS数据保护-数据备份新特性与最佳实践...

   简介: 本文中,阿里云智能弹性计算专家余初武(悟元)将结合阿里云近期推出的数据备份新特性(快照极速备份.一致性快照组)来介绍云上环境如何做数据备份的最佳实践:适合需要构建云上架构的工程师,架构师和云上 ...

7. ECS弹性网卡+弹性公网IP配置最佳实践之策略路由

   概述 目前阿里云ECS部分机型可以配置多张网卡(一张原生网卡+若干张弹性网卡),用来实现业务上对于系统内多网卡的需求,详细可以参考 [[新功能]弹性公网IP绑定弹性网卡新功能及最佳实践 ](https ...

8. mysql计算三角形斜边_MySQL 5.7新特性之Generated Column（函数索引）

   MySQL 5.7引入了Generated Column,这篇文章简单地介绍了Generated Column的使用方法和注意事项,为读者了解MySQL 5.7提供一个快速的.完整的教程.这篇文章围绕 ...

9. 【阿里云云计算工程师 ACP 认证】01、弹性计算 ECS

   目录 一.什么是 ECS 1.1 什么是弹性计算 ECS 1.2 弹性计算 ECS 的定位 1.2.1 弹性的伸缩能力 1.2.2 计算的基础运行环境 二.ECS 的基本概念 2.1 ECS 相关概念 ...

最新文章

1. 第十四篇：有概率的上下文无关语法Probabilistic Context-Free Grammar
2. 正则表达式（开源框架）
3. c语言不用switch做计算器,超级新手，用switch写了个计算器程序，求指导
4. sql作业启停服务器
5. mavonEditor 有序无序列表不能显示数字和小原点的问题
6. 怎么测试服务器端口是否对外开放_12个经典性能测试人员面试题
7. VueSSR高阶指南
8. 通过XMPP协议实现推送信息
9. uefi windows10 linux,UEFI 启动GPT分区 Win10和Ubuntu16.04双系统安装
10. 照片墙 php源码,分享一个心型照片墙源码
11. airpak模拟案例,Airpak模拟教程-体育馆通风模拟案例-CFD数值模拟教程airpak.pdf
12. 解决MySQL远程过程调用失败
13. java人民币大小写转换函数_java开发_数字转换汉语中人民币的大写_完整版
14. 前端架构师神技，三招统一团队代码风格
15. TerraSAR-X雷达遥感卫星
16. python来判断三角形的性质
17. CSS 布局实例系列（三）如何实现一个左右宽度固定，中间自适应的三列布局——也聊聊双飞翼...
18. Geeks3D FurMark v1.26 显卡压力测试工具中文便携版带GPU-Z
19. 后疫情时代更多知识竞赛活动将在云端进行
20. 双网卡电脑使用不同网关同时连接内外网(笔记记录)

热门文章

1. SQL | 数据分析面试必备SQL语句+语法
2. mysql之间互相订阅_mysql – 开票和订阅的应用程序逻辑？
3. java 多个监听_java中监听一个客户端怎么做？监听多个怎么做？
4. 一对多分页查询mysql编写_一对多分页的SQL到底应该怎么写？
5. leetcode-12-整数转罗马数字
6. java中debug使用
7. 如何成为一个伟大的 JavaScript 程序员
8. 【WPF】右键菜单ContextMenu可点击区域太小的问题
9. Python 日期时间相关
10. [Groovy] 实战 Groovy, for each 剖析