首页 微服务引擎 MSE 操作指南 云原生网关 网关管理 设置安全组规则

设置安全组规则

更新时间: 2023-08-30 17:55:51

本文介绍如何在云原生网关设置安全组规则,允许云原生网关访问后端服务。

背景信息

安全组是一种虚拟防火墙,用于控制安全组内ECS实例和ENI网卡的入流量和出流量,从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力,您可以基于安全组的特性和安全组规则的配置在云端划分安全域,详情请参见安全组概述

您在购买云原生网关时需要选择安全组类型(建议与后端服务所在安全组类型一致),根据您选择的安全组类型,云原生网关会创建相应托管安全组管理网关的实例节点。因为云原生网关和后端服务分别处于不同安全组内,需要您对云原生网关授予必要的端口范围访问权限。

云原生网关场景架构图云原生网关场景架构图

添加安全组授权规则

后端服务安全组信息

  • 普通安全组默认授权对象为网关安全组,企业安全组默认授权对象为网关所在专有网络CIDR。

  • 容器服务ACK可以在容器服务控制台找到容器集群的ECS节点所在安全组信息。节点池安全组.png

  • 容器服务ACK Serverless可以在容器服务控制台找到对应集群后,选择集群资源 > 安全组找到对应的安全组信息。

    image.png

  1. 登录MSE网关管理控制台

  2. 在左侧导航栏,选择云原生网关 > 网关列表,并在顶部菜单栏选择地域。

  3. 网关列表页面,单击目标网关名称。在左侧导航栏单击基本概览,然后单击安全组授权页签。

  4. 单击授权安全组,在授权安全组面板配置相关参数,单击确定

    参数

    描述

    安全组

    单击安全组的下拉框选择后端服务所在的安全组,例如:后端部署使用的是容器请添加K8s集群的安全组,后端部署在ECS请添加具体ECS所在安全组。后端服务安全组信息请参见后端服务安全组信息

    说明

    • 下拉框展示的范围是网关所在VPC内且与网关安全组类型一致(普通或企业)的非托管安全组。

    • 若所需的安全组不在下拉列表内,请前往所需安全组详情页手动添加安全组入规则,授权对象为网关所在虚拟交换机的CIDR,具体操作请参见添加安全组规则

    端口范围

    • 取值范围为1~65535。

    • 设置格式为xx/xx,例如“1/65535”,“8080/8080”。

    描述

    建议您备注后端服务信息。

删除安全组授权规则

  1. 登录MSE网关管理控制台

  2. 在左侧导航栏,选择云原生网关 > 网关列表,并在顶部菜单栏选择地域。

  3. 网关列表页面,单击目标网关名称。

  4. 在左侧导航栏,单击基本概览,单击授权安全组页签,然后单击操作列下方的删除,单击确定

重要

普通安全组授权规则可同步删除,企业安全组规则需要您单击具体安全组ID进入安全组详情再删除对应规则。

阿里云首页 微服务引擎 MSE 相关技术圈