同一策略组中ECS实例之间实现内网互访

同一个主机边界防火墙策略组内,策略组在未设置放行策略的情况下,该策略组中的ECS实例之间默认不支持内网互访。
说明 如果您通过ECS控制台来设置安全组规则,同一安全组内ECS实例之间默认内网互通。这一点是云防火墙主机边界防火墙与ECS安全组最明显的区别。
如果您需要实现同一策略组中ECS实例内网互访,可以在主机边界防火墙策略组内新建入方向和出方向放行策略。配置示例如下:
  1. 策略方向选择入方向,并且策略类型设置为允许
  2. 设置对端ECS地址。
    • 如果需要该策略组内的所有ECS实例实现内网互访,目的选择目的选择设置为全部ECS
    • 如果需要该策略组内的部分ECS实例实现内网互访,目的选择设置为地址段访问,并填写对端ECS的IP地址段。
  3. 参考步骤1~2,创建出方向的放行策略。

不同策略组中ECS实例之间实现内网互访

如果ECS实例A和ECS实例B分属于两个不同的主机边界防火墙策略组,策略组在未设置放行策略的情况下,ECS实例A和B默认不支持内网互访。

如果您需要实现ECS实例A和B的内网互访,可以分别对ECS实例A和B主机添加入方向和出方向的放行策略。配置示例如下:
  1. 定位到ECS实例A所属的任意一个策略组。
    说明 同一台ECS实例可以加入最多5个策略组。
  2. 策略方向选择入方向出方向,并且策略类型设置为允许
  3. 设置对端ECS地址。目的选择设置为地址段访问,并填写对端ECS的IP地址段。
  4. 参考步骤1~3,完成对ECS实例B的配置。

同一VPC内不同策略组实现内网互访

如果您需要实现同一个VPC内不同的策略组之间内网互通,可以在该策略组中创建一条源类型为策略组的放行策略。
  1. 策略方向选择入方向,并且策略类型设置为允许
  2. 源类型选择策略组
  3. 源对象选择需要实现内网互通的对端策略组。
  4. 目的选择设置为全部ECS
  5. 参考步骤1~4,创建出方向的放行策略。