本文介绍如何使用前缀列表,来更高效地进行安全组规则的管理。

背景信息

前缀列表是一些网络前缀(即CIDR地址块)的集合,您可以在配置安全组规则时引用前缀列表。对前缀列表条目的修改,等效于直接修改安全组规则。通过将一些常用地址放入前缀列表,可以避免您维护仅有授权对象不同的多条安全组规则,来降低您管理安全组规则的工作量。关于前缀列表的更多介绍,请参见前缀列表概述

应用场景

为了云上资源的安全,您为购买的云上资源划分了多个安全域,每个安全域对应一个安全组。您多个安全域中的资源,需要被另外一个公共资源(例如云下的办公网络)访问,这个公共资源的网络地址段数量众多,且会经常发生变动。

在不使用前缀列表的情况下,您需要在多个安全组中维护仅有授权对象不同的多条安全组规则。在授权公共资源的网络地址发生变动时,您需要对多个安全域的安全组进行规则调整,安全组和网络地址数量越多,管理的工作量越大。

使用前缀列表后,您可以将公共资源的若干网络地址放入前缀列表,并在配置安全组规则时将授权对象设置为该前缀列表。在网络地址发生变动时,您只需要修改前缀列表中的网络地址,即可等效于修改已关联安全组的访问控制规则,无需再关注每个安全组中的规则,降低管理复杂度,提高效率。

当您的云上资源分布在多个阿里云地域时,您可以使用前缀列表克隆功能,来将一个已有的前缀列表克隆到其他地域。

操作步骤

本步骤以修改放行2个IP为例,为您演示通过前缀列表指定允许远程连接实例的IP,并在初次设置完成后修改远程连接授权的整个操作流程。
说明 如果通过RAM用户操作,请为RAM用户添加前缀列表相关权限。具体操作,请参见为RAM用户授予前缀列表相关权限
  1. 登录ECS管理控制台
  2. 创建前缀列表。
    1. 在左侧导航栏,选择网络与安全 > icon1 > 前缀列表
    2. 在顶部菜单栏左上角处,选择地域。
    3. 单击创建前缀列表
    4. 创建前缀列表对话框中,设置前缀列表的参数,单击创建
      本文以包括2个IPv4条目为例,参数示例如下所示:
      • 名称:RemoteLogon
      • 描述:允许该前缀列表中的IP远程连接安全组的实例
      • 地址族:IPv4
      • 最大条目容量:2条
        说明 已关联资源(例如安全组)计算规则配额时,将使用最大条目容量计算,而非实际条目数,请合理设置。
      • 前缀列表条目:单击增加条目,分别添加192.168.1.0/24192.168.2.0/24
        由于采用了CIDR地址块的形式,上述条目实际对应了多个IP:
        • 192.168.1.0/24:即192.168.1.0~192.168.1.255
        • 192.168.2.0/24:即192.168.2.0~192.168.2.255
  3. 在安全组规则中使用前缀列表。
    重复以下步骤为多个安全组添加安全组规则,放行对远程连接端口的访问,并将前缀列表RemoteLogon作为授权对象。
    1. 在左侧导航栏,选择网络与安全 > 安全组
    2. 找到目标安全组,在操作列单击配置规则
    3. 入方向页签中,单击手动添加
      说明 本文以专有网络安全组的操作为例,如果为经典网络安全组,请根据是否为公网IP选择对应的页签。
    4. 设置安全组规则的参数,然后单击保存
      本文以允许通过SSH和RDP方式远程连接安全组内实例为例,参数示例如下表所示:
      • 授权策略:允许
      • 优先级:1
      • 协议类型:自定义TCP
      • 端口范围:选择SSH (22)RDP (3389)
      • 授权对象:选择前缀列表RemoteLogon
      添加该安全组规则后,安全组放行前缀列表中的IP远程连接安全组内实例。
  4. 修改前缀列表的条目。
    如果在添加安全组规则后,您需要取消一些IP的远程连接授权,进一步缩小授权范围以降低风险,则无需逐一修改多个安全组的安全组规则,修改前缀列表RemoteLogon的条目即可。例如,您使用私有IP为192.168.1.1192.168.2.1的实例作为跳板机,需要限制仅允许通过跳板机远程连接安全组内实例,则按以下步骤修改前缀列表的条目。
    1. 在左侧导航栏,选择网络与安全 > icon1 > 前缀列表
    2. 找到前缀列表RemoteLogon,在操作列单击详情
    3. 单击前缀列表条目页签。
    4. 找到前缀列表条目,在操作列单击编辑
    5. 设置CIDR地址块参数,然后单击保存
      修改2个已有条目,CIDR地址块参数分别设置为192.168.1.1/32192.168.2.1/32
      修改前缀列表的条目后即时生效,使用前缀列表RemoteLogon的安全组规则也随之变化,安全组仅放行192.168.1.1/32192.168.2.1/32远程连接安全组内实例。

更多操作场景

本章节通过对比多个场景中的操作次数,体现前缀列表在提升效率上的优势。假设您管理50个安全组中的资源,下表列出了使用前缀列表前后的操作次数。
场景 安全组规则中指定固定IP 安全组规则中指定一个前缀列表
停止放行5个IP 分别为50个安全组删除5条安全组规则,操作250次。即使批量删除,也需要操作50次。 为前缀列表删除5个条目,操作5次。如果批量删除,操作1次即可。
修改放行5个IP 分别为50个安全组修改5条安全组规则,操作250次。 为前缀列表修改5个条目,操作5次。
新增放行5个IP 分别为50个安全组新增5条安全组规则,操作250次。即使批量新增,也需要操作50次。 为前缀列表新增5个条目,操作5次。如果批量新增,操作1次即可。
修改放行5个IP,并新增放行5个IP 分别为50个安全组修改5条安全组规则,并新增5条安全组规则,总计操作500次。即使批量新增,总计也需要操作300次。 为前缀列表修改5个条目,并新增5个条目,总计操作10次。如果批量新增,总计操作6次即可。