全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
专有网络 VPC

VPC内设置私网隔离

更新时间:2017-07-05 17:51:40

默认情况下,VPC内的不同交换机下的ECS实例可以通过系统路由相互访问。您可以通过配置安全组规则,使其互相隔离。

本操作以网段为172.16.0.0/12的VPC为例,在该VPC下有三个交换机分别为VS1(172.16.1.0/24)、VS2(172.16.2.0/24)和VS3(172.16.3.0/24)。

交换机

每个交换机下分别创建一个云服务器ECS实例,如下图所示。这三个ECS实例都加入了默认安全组2内,出方向允许所有访问,入方向只开放TCP协议的22和3389端口,以及ICMP协议所有端口。

默认情况下,这三个ECS实例可以私网互通。您可以通过将这三个ECS实例加入到不同的安全组内实现VPC内私网隔离。

ECS实例

操作步骤

  1. 登录云服务器ECS管理控制台

  2. 在左侧导航栏,单击网络和安全 > 安全组,然后单击创建安全组

  3. 创建安全组对话框,输入安全组名称,网络类型选择专有网络,然后指定ECS实例所在的专有网络。单击确定

    创建安全组

  4. 单击立即设置规则,分别添加如下三条入方向授权规则:

    • 规则1:开放ICMP协议所有端口。优先级可以设置100。数字越大,优先级越低。

    • 规则2:拒绝全部来自交换机2(网段为172.16.2.0/24)的访问,优先级设为1。

    • 规则3:拒绝全部来自交换机3(网段为172.16.3.0/24)的访问,优先级设为1。

      授权规则配置

  5. 在ECS实例列表页面,找到位于交换机1(网段为172.16.1.0/24)中的ECS实例,然后单击实例ID链接,进入详情页面。

  6. 在左侧导航栏,单击本实例安全组

    该实例目前只关联了一个VPC内的默认安全组。

    默认安全组

  7. 单击加入安全组,然后在ECS实例加入安全组对话框中选择刚创建的安全组S1,单击确定

  8. 单击默认安全组对应的移出,将该ECS实例从默认安全组中移出。

    移出安全组

    此时其它两个ECS实例(交换机1和交换机2中的ECS实例)已经无法通过私网访问这个ECS实例了。

    ping

  9. 重复上述步骤为另外两个交换机下的ECS实例分别创建两个安全组,然后将它们从默认安全组内移出,使三个交换机内的ECS实例两两不能互访。

本文导读目录