您可以通过阿里云CLI在ECS实例内部调用API接口设置安全组规则,以实现两台ECS实例之间的内网通信,以满足您在搭建内部网站或应用服务、部署数据库集群或应用系统等业务场景下的需求。本文主要介绍如何通过CLI调用API实现ECS实例内网通信。
操作须知
安全组是ECS实例的虚拟防火墙,安全组本身不提供通信能力和组网能力。授权不同安全组内的实例内网通信后,请同时确保实例具备建立内网互通的能力。
若实例均是经典网络类型,则必须位于同一地域下。
若实例均是VPC类型,不同VPC间默认内网不通。建议通过公网访问的方式通信,或者通过高速通道、VPN网关和云企业网等方式提供访问能力。更多信息,请参见高速通道、VPN网关和云企业网。
若实例网络类型不同,请设置ClassicLink允许实例通信。具体操作,请参见经典网络和专有网络互通。
若实例位于不同地域,建议通过公网访问的方式通信,或者通过高速通道、VPN网关和云企业网等方式提供访问能力。更多信息,请参见高速通道、VPN网关和云企业网。
在执行操作步骤前,请确认ECS实例满足以下条件:
请确保您已经为ECS实例安装了阿里云CLI,在不同操作系统中安装CLI的方式请参见:
ECS实例成功安装阿里云CLI后,请确保您已经配置了调用阿里云资源所需的凭证信息、地域、语言等。具体操作,请参见阿里云CLI配置凭证简介。
同阿里云账号实现内网通信
查询两台ECS实例的内网IP地址和两台ECS实例所处的安全组ID。
您可以通过控制台或调用DescribeInstances接口获得ECS实例所属的安全组ID。假设两台ECS实例的信息如下表所示。
实例
IP地址(内网)
所属安全组
安全组ID
实例A
10.0.0.1
sg1
sg-bp1azkttqpldxgte****
实例B
10.0.0.2
sg2
sg-bp15ed6xe1yxeycg****
远程连接ECS实例。
具体操作,请参见连接方式概述。
执行以下命令,在
sg1
安全组中添加放行10.0.0.2
的入方向规则。aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp1azkttqpldxgte**** --RegionId cn-qingdao --IpProtocol all --PortRange=-1/-1 --SourceCidrIp 10.0.0.2 --NicType intranet
执行以下命令,在
sg2
安全组中添加放行10.0.0.1
的入方向规则。aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp15ed6xe1yxeycg**** --RegionId cn-qingdao --IpProtocol all --PortRange=-1/-1 --SourceCidrIp 10.0.0.1 --NicType intranet
说明以上命令中,地域取值为华北 1(青岛)cn-qingdao,请您根据实际情况修改。
以上命令中,调用AuthorizeSecurityGroup接口添加安全组入方向的放行规则,主要关注的参数为SecurityGroupId和SourceCidrIp。
等待一分钟后,使用
ping
命令测试两台ECS实例之间是否内网互通。
跨阿里云账号实现内网通信
跨阿里云账号实现内网通信实际上是安全组间授权,即授权处于这两个安全组内的ECS实例后就可以实现内网通信。修改安全组配置会影响到安全组内所有的ECS实例,请根据实际需要进行操作,避免影响到ECS实例网络下运行的业务。
查询两个阿里云账号的账号名称和两个账号下对应的安全组ID。
您可以通过控制台或调用DescribeInstances接口获得ECS实例所属的安全组ID。假设两个阿里云账号的信息如下表所示。
阿里云账号
阿里云账号ID
安全组
安全组ID
账号A
testA****@aliyun.com
sg1
sg-bp1azkttqpldxgte****
账号B
testB****@aliyun.com
sg2
sg-bp15ed6xe1yxeycg****
远程连接ECS实例。
具体操作,请参见连接方式概述。
执行以下命令,在
sg1
安全组中添加放行sg2
安全组入方向规则。aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp1azkttqpldxgte**** --RegionId cn-qingdao --IpProtocol all --PortRange=-1/-1 --SourceGroupId sg-bp15ed6xe1yxeycg7XXX --SourceGroupOwnerAccount b@aliyun.com --NicType intranet
执行以下命令,在
sg2
安全组中添加放行sg1
安全组入方向规则。aliyun ecs AuthorizeSecurityGroup --SecurityGroupId sg-bp15ed6xe1yxeycg**** --RegionId cn-qingdao --IpProtocol all --PortRange=-1/-1 --SourceGroupId sg-bp1azkttqpldxgtedXXX --SourceGroupOwnerAccount a@aliyun.com --NicType intranet
说明以上命令中,地域取值为华北 1(青岛)cn-qingdao,请您根据实际情况修改。
以上命令中,调用AuthorizeSecurityGroup接口添加安全组入方向的放行规则时,主要关注的参数为SecurityGroupId、SourceGroupId和SourceGroupOwnerAccount。
等待一分钟后,使用
ping
命令测试查看两台ECS实例之间是否内网互通。
- 本页导读 (1)