AI 助理
备案控制台
官方文档
有奖调研
输入文档关键字查找
首页 云服务器 ECS 操作指南 网络 前缀列表与端口列表 使用前缀列表与端口列表高效管理安全组规则

使用前缀列表与端口列表高效管理安全组规则

更新时间:
产品详情
我的收藏

前缀列表是一些网络前缀(即CIDR地址块)的集合,端口列表是一些端口的集合,您可以在配置安全组规则时引用前缀列表与端口列表。修改前缀列表或端口列表的条目,等效于直接修改安全组规则,从而避免您维护仅授权对象和端口范围不同的多条安全组规则,本文介绍使用前缀列表与端口列表高效管理安全组规则。

应用场景

为了云上资源的安全,您为购买的云上资源划分了多个安全域,每个安全域对应一个安全组。您多个安全域中的资源,需要被另外一个公共资源(例如云下的办公网络)访问,这个公共资源的IP地址段数量众多,且会经常发生变动。

当授权公共资源的网络地址发生变动时,您需要对多个安全组进行规则调整,安全组和网络地址数量越多,管理的工作量越大。

针对此情况,您可以将公共资源的IP地址段和IP地址放入前缀列表,将对公共资源开放的云上资源的特定服务端口放入端口列表,并在配置安全组规则引用前缀列表与端口列表。在网络地址或端口发生变动时,您只需要修改前缀列表或端口列表中的条目,无需逐个调整安全组中的规则,降低管理复杂度,提高效率。

例如您拥有50个安全组,当您需要为它们放行一个IP时,需要执行新增操作50次,如果使用前缀列表,将这个IP加入到前缀列表中,只需操作一次。

当您的云上资源分布在多个阿里云地域时,您可以使用前缀列表或端口列表的克隆功能,将一个已有的前缀列表或端口列表克隆到其他地域。

操作步骤

本步骤以修改放行2CIDR地址块与2个端口为例,演示通过前缀列表和端口列表指定允许访问ECS实例上部署服务的IP地址,并修改访问授权的流程。

  1. 创建前缀列表。

    1. 访问ECS控制台-前缀列表

    2. 在页面左侧顶部,选择目标资源所在的资源组和地域。地域

    3. 前缀列表栏,单击创建前缀列表

    4. 创建前缀列表对话框中,设置前缀列表的参数,单击确定

      本文以包括2IPv4条目为例,参数示例如下所示:

      • 前缀列表名称:RemoteAccess-IP

      • 描述:允许该前缀列表中的IP访问安全组管理的ECS实例

      • 地址族:IPv4

      • 最大条目容量:2

        说明

        已关联资源(例如安全组)计算规则配额时,将使用最大条目容量计算,而非实际条目数,请合理设置。

      • 前缀列表条目:单击增加条目,分别添加192.168.1.0/24192.168.2.0/24

  2. 创建端口列表。

    1. 端口列表栏,单击创建端口列表

    2. 创建端口列表对话框中,设置端口列表的参数,单击确定

      本文以包括2个端口条目为例,参数示例如下所示:

      • 端口列表名称:RemoteAccess-Port

      • 描述:为安全组管理的ECS实例开放该端口列表中的端口,供访问ECS实例上部署的服务

      • 最大条目容量:2

        说明

        已关联资源(例如安全组)计算规则配额时,将使用最大条目容量计算,而非实际条目数,请合理设置。

      • 端口列表条目:单击增加条目,分别添加20000/2000020008/20008(此处假设ECS实例上部署的服务使用2000020008端口)。

  3. 在安全组规则中使用前缀列表和端口列表。

    重复以下步骤为多个安全组添加安全组规则,将前缀列表RemoteAccess-IP作为访问来源,将端口列表RemoteAccess-Port作为访问目的。

    1. 访问ECS控制台-安全组

    2. 找到目标安全组,在操作列单击管理规则

    3. 入方向页签中,单击添加规则

      说明

      本文以专有网络安全组的操作为例,如果为经典网络安全组,请根据是否为公网IP选择对应的页签。

    4. 设置安全组规则的参数,然后单击保存

      本文以允许访问安全组内实例上部署的服务为例,参数示例如下表所示:

      • 授权策略:允许

      • 优先级:1

      • 协议类型:自定义TCP

      • 访问来源:选择前缀列表RemoteAccess-IP

      • 访问目的:选择端口列表RemoteAccess-Port

      添加该安全组规则后,安全组放行前缀列表中的IP,放行端口列表中的端口。

  4. 修改前缀列表与端口列表的条目。

    如果在添加安全组规则后,您需要更改一些IP的访问授权,同时ECS实例上部署的服务端口发生变化,此时无需逐一修改多个安全组的安全组规则,只需修改前缀列表RemoteAccess-IP与端口列表RemoteAccess-Port的条目即可。例如,您授权的私有IP变为192.168.3.0/24192.168.4.0/24,同时部署的服务端口变为3000030008,则按以下步骤修改前缀列表与端口列表的条目。

    1. 访问ECS控制台-前缀列表

    2. 前缀列表栏,找到前缀列表RemoteAccess-IP,在操作列单击详情

    3. 单击前缀列表条目页签。

    4. 找到前缀列表条目,在操作列单击修改

    5. 设置CIDR地址块参数,然后单击保存

      修改2个已有条目,CIDR地址块参数分别设置为192.168.3.0/24192.168.4.0/24

    6. 端口列表栏,找到端口列表RemoteAccess-Port,在操作列单击详情

    7. 单击端口列表条目页签。

    8. 找到端口列表条目,在操作列单击修改

    9. 设置端口范围参数,然后单击保存

      修改2个已有条目,端口范围参数分别设置为30000/3000030008/30008

修改前缀列表或端口列表的条目后,使用前缀列表或端口列表的安全组规则自动生效。

上一篇:管理端口列表下一篇:网络FAQ