本文介绍如何使用前缀列表,来更高效地进行安全组规则的管理。
背景信息
前缀列表是一些网络前缀(即CIDR地址块)的集合,您可以在配置安全组规则时引用前缀列表。对前缀列表条目的修改,等效于直接修改安全组规则。通过将一些常用地址放入前缀列表,可以避免您维护仅有授权对象不同的多条安全组规则,来降低您管理安全组规则的工作量。关于前缀列表的更多介绍,请参见前缀列表概述。
应用场景
为了云上资源的安全,您为购买的云上资源划分了多个安全域,每个安全域对应一个安全组。您多个安全域中的资源,需要被另外一个公共资源(例如云下的办公网络)访问,这个公共资源的网络地址段数量众多,且会经常发生变动。
在不使用前缀列表的情况下,您需要在多个安全组中维护仅有授权对象不同的多条安全组规则。在授权公共资源的网络地址发生变动时,您需要对多个安全域的安全组进行规则调整,安全组和网络地址数量越多,管理的工作量越大。
使用前缀列表后,您可以将公共资源的若干网络地址放入前缀列表,并在配置安全组规则时将授权对象设置为该前缀列表。在网络地址发生变动时,您只需要修改前缀列表中的网络地址,即可等效于修改已关联安全组的访问控制规则,无需再关注每个安全组中的规则,降低管理复杂度,提高效率。
当您的云上资源分布在多个阿里云地域时,您可以使用前缀列表克隆功能,来将一个已有的前缀列表克隆到其他地域。
操作步骤
本步骤以修改放行2个IP为例,为您演示通过前缀列表指定允许远程连接实例的IP,并在初次设置完成后修改远程连接授权的整个操作流程。
说明 如果通过RAM用户操作,请为RAM用户添加前缀列表相关权限。具体操作,请参见为RAM用户授予前缀列表相关权限。
更多操作场景
本章节通过对比多个场景中的操作次数,体现前缀列表在提升效率上的优势。假设您管理50个安全组中的资源,下表列出了使用前缀列表前后的操作次数。
场景 | 安全组规则中指定固定IP | 安全组规则中指定一个前缀列表 |
---|---|---|
停止放行5个IP | 分别为50个安全组删除5条安全组规则,操作250次。即使批量删除,也需要操作50次。 | 为前缀列表删除5个条目,操作5次。如果批量删除,操作1次即可。 |
修改放行5个IP | 分别为50个安全组修改5条安全组规则,操作250次。 | 为前缀列表修改5个条目,操作5次。 |
新增放行5个IP | 分别为50个安全组新增5条安全组规则,操作250次。即使批量新增,也需要操作50次。 | 为前缀列表新增5个条目,操作5次。如果批量新增,操作1次即可。 |
修改放行5个IP,并新增放行5个IP | 分别为50个安全组修改5条安全组规则,并新增5条安全组规则,总计操作500次。即使批量新增,总计也需要操作300次。 | 为前缀列表修改5个条目,并新增5个条目,总计操作10次。如果批量新增,总计操作6次即可。 |