相对公网访问,内网访问对外部完全隔离,可以避免一些网络攻击和非法访问,适合对安全性和传输速度要求较高的内部通信。内网访问允许通过私网IP地址、私网域名的方式进行寻址,您可以通过网络ACL、安全组等方式实现VPC内不同ECS实例之间的访问控制。如果您有跨VPC进行资源访问的需求,阿里云也提供了云企业网、VPN网关等相应的解决方案。
内网访问方式
使用私网IP地址进行内网访问
私网IP一般指私网IPv4地址。私网IPv4地址是指无法通过互联网访问的IPv4地址。您可以通过私网IPv4地址实现ECS实例与内网资源通信,我们将使用动态主机配置协议DHCP(Dynamic Host Configuration Protocol)将私网IPv4地址分配给ECS实例。分配给实例的私网IPv4地址必须属于专有网络VPC的交换机私网IPv4网段内,且不同实例的弹性网卡所分配的私网IPv4地址数量由实例规格决定。更多信息,请参见实例规格族中的单网卡私网IPv4地址数指标。
如果您需要在VPC中进行IPv6内网访问,您可以在开通了IPv6网段的VPC和交换机下创建带有IPv6地址的ECS实例。详细信息,请参见ECS实现IPv6私网通信。
使用私网域名进行内网访问
在同一专有网络VPC内,使用私网域名进行ECS实例间的网络连接,可以避免因IP地址变动导致的服务访问问题,极大地简化大规模内部网络的管理,同时保持与公共互联网的分离,为内部通信提供了更强的安全性和隔离性。
您可以在VPC启用DNS主机名功能的前提下,通过为ECS实例配置私网域名解析的方式实现私网域名内网访问,详细信息,请参见ECS私网域名解析。
内网访问控制
配置网络ACL实现访问控制
网络ACL是VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制。更多信息,请参见网络ACL和创建和管理网络ACL。
您也可以通过网络ACL功能限制不同交换机下ECS实例的内网互通,详细信息,请参见限制不同交换机下的ECS间的互通。
配置安全组规则实现访问控制
安全组是一种网卡粒度的虚拟防火墙,能够控制ECS实例的出入流量,合理使用安全组可以有效提高实例的安全性。同一VPC下ECS实例之间可以通过安全组规则控制内网访问权限。
同一安全组:普通安全组默认支持组内互通功能,您可以将需要内网访问的ECS实例配置在同一个普通安全组中,进而实现内网访问。企业安全组只支持安全组内网络隔离。详细信息,请参见修改普通安全组的组内连通策略。
跨安全组:当处于不同安全组的ECS实例希望实现内网访问,或者当您需要企业级安全组(默认组内隔离,且无法修改组内连通策略)满足精细访问控制、严格合规要求、处理复杂且动态变化的网络环境时,您可以通过授权安全组的方式实现内网访问。详细信息,请参见安全组应用案例。
配置ECS主机系统防火墙
防火墙是可以帮助计算机在内部网络和外部网络之间构建一道相对隔绝的保护屏障,从而保护数据信息的一种技术。如果服务器开启了防火墙,并设置了屏蔽外界访问的规则,那么在远程连接该服务器时,可能会导致访问失败。详情参考:
跨VPC内网互联
当您需要在不同VPC中的资源之间建立安全且高效的私网通信时,您可以通过云企业网、VPC对等连接或私网连接(PrivateLink)等连接方式,满足您跨VPC资源互联的需求。
不同连接方式的实现、支持的地域、配置复杂度、支持互联VPC的数量、收费等均有所不同,详细信息,请参见跨VPC互联。
相关文档
如果您希望修改实例默认分配的主私网IP地址,请参见修改私有IP地址。
当您有多私网IP的场景需求时,比如多应用、故障转移等业务场景,您可以通过为ECS实例分配多个辅助私网IP地址实现。详细信息,请参见分配辅助私网IP地址。
关于安全组的使用,建议您遵循安全组最佳实践。
您还可以通过云防火墙统一管理ECS实例之间(东西向)、互联网和ECS实例之间(南北向)的流量,限制ECS实例的未授权访问。详细信息,请参见通过云防火墙控制ECS实例间访问。