云服務(wù)器ECS安全組實(shí)踐(二)

云服務(wù)器ECS安全組實(shí)踐（二）本文章來自于阿里云云棲社區(qū)摘要：云服務(wù)器ECS安全組實(shí)踐（一）中我們簡單介紹了安全組的一些規(guī)則和約束和實(shí)踐，在創(chuàng)建一臺云服務(wù)的時候，它作為幾個必選參數(shù)之一，可見它的重要性。本文將繼續(xù)安全組的介紹，本篇涉及到下面的幾個內(nèi)容：授權(quán)和撤銷安全組規(guī)則加入安全組和離開安全組阿里云的網(wǎng)絡(luò)類型分為經(jīng)典網(wǎng)絡(luò)和VPC，他們對安全組支持不同的設(shè)置規(guī)則。云服務(wù)器ECS安全組實(shí)踐（一）（原文鏈接：https://yq.aliyun.com/articles/70403?spm=5176.100239.blogcont71050.17.aWOfds）中我們簡單介紹了安全組的一些規(guī)則和約束和實(shí)踐，在創(chuàng)建一臺云服務(wù)的時候，它作為幾個必選參數(shù)之一，可見它的重要性。本文將繼續(xù)安全組的介紹，本篇涉及到下面的幾個內(nèi)容：?授權(quán)（原文鏈接：/document_detail/25554.html?spm=5176.100239.blogcont71050.18.d3eNja）和撤銷（原文鏈接：/document_detail/25557.html?spm=5176.100239.blogcont71050.19.p7Bch2）安全組規(guī)則?加入安全組（原文鏈接:https://help.aliyun.com/document_detail/25508.html?spm=5176.100239.blogcont71050.20.Pymm0x）和離開安全組（原文鏈接：https://help.aliyun.com/document_detail/25509.html?spm=5176.100239.blogcont71050.21.mFSVcq)阿里云的網(wǎng)絡(luò)類型分為經(jīng)典網(wǎng)絡(luò)和VPC,他們對安全組支持不同的設(shè)置規(guī)則。對于經(jīng)典網(wǎng)絡(luò)你可以設(shè)置下面的幾個規(guī)則：內(nèi)網(wǎng)入方向、內(nèi)網(wǎng)出方向、公網(wǎng)入方向、公網(wǎng)出方向。對于VPC網(wǎng)絡(luò)可以設(shè)置：內(nèi)網(wǎng)入方向、內(nèi)網(wǎng)出方向。在開始本篇之前描述幾個安全組內(nèi)網(wǎng)通訊的概念：?默認(rèn)情況下只有同一個安全組的機(jī)器可以網(wǎng)絡(luò)互通很卩便同一個用戶的兩個安全組的機(jī)器內(nèi)網(wǎng)網(wǎng)絡(luò)也不通。這個對于經(jīng)典網(wǎng)絡(luò)和VPC網(wǎng)絡(luò)都適用。所以經(jīng)典網(wǎng)絡(luò)的云服務(wù)器也是內(nèi)網(wǎng)安全的。?如果您的非同一個安全組的兩臺云服務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)可以互通而這又不符合您的預(yù)期，請檢查您的安全組內(nèi)網(wǎng)規(guī)則設(shè)置。如果內(nèi)網(wǎng)協(xié)議存在下面的協(xié)議，建議您重新設(shè)置。如果是經(jīng)典網(wǎng)絡(luò)這樣會導(dǎo)致您的內(nèi)網(wǎng)暴漏給其它的訪問。o允許所有端口o授權(quán)對象為CIDR網(wǎng)段(SourceCidrlp):/0或者/8的規(guī)則?如果資源創(chuàng)建在不同的安全組內(nèi)，想實(shí)現(xiàn)網(wǎng)絡(luò)互通就需要通過安全組進(jìn)行授權(quán)。對于內(nèi)網(wǎng)訪問，我們建議您使用源安全組授權(quán)不要使用CIDR網(wǎng)段。安全規(guī)則主要是描述不同的訪問權(quán)限，主要有下面的屬性：Policy:授權(quán)策略acceptordropPriority:優(yōu)先級根據(jù)創(chuàng)建的時間降序排序匹配。規(guī)則優(yōu)先級可選范圍為1-100,默認(rèn)值為1,即最高優(yōu)先級。數(shù)字越大，代表優(yōu)先級越低。?NicType:當(dāng)對安全組進(jìn)行相互授權(quán)時（即指定了SourceGroupId且沒有指定SourceCidrlp），必須指定NicType為intranet。?規(guī)則描述，通過安全組授權(quán)，NicType只能選擇intranet，和通過CIDR授權(quán)只能二選一oSourceGroupId:通過安全組，默認(rèn)對SourceCidrlp授權(quán)oIpProtocol:tcp|udp|icmp|gre|alloPortRange:例如80/80oSourceGroupOwnerAccount非可選，僅為跨帳號授權(quán)的時候?通過CIDR授權(quán)規(guī)則：oSourceCidrIp:CIDR的網(wǎng)段oIpProtocol:tcp|udp|icmp|gre|alloPortRange:例如80/80oSourceGroupOwnerAccount非可選，僅為跨帳號授權(quán)的時候授權(quán)一條入網(wǎng)請求規(guī)則當(dāng)在控制臺或者API創(chuàng)建一個安全組，是不存在任何的安全規(guī)則，意味著默認(rèn)情況下您的入網(wǎng)請求全部是拒絕的。所以您要適度的配置您的入網(wǎng)規(guī)則。如果需要開啟公網(wǎng)的80端口對外提供HTTP服務(wù)，由于公網(wǎng)訪問，我們期望的是入網(wǎng)盡可能多訪問，所以在IP網(wǎng)段上不做限制，設(shè)置為/0?？梢詤⒖枷旅娴膶傩?，括號外為控制臺參數(shù)，括號內(nèi)為OpenApi參數(shù)，兩者相同就不做區(qū)分。通過EIP（原文鏈接：https://common-buy.aliyun.com/?spm=5176.100239.blogcont71050.22.TXL1HY&commodityCode=eip#/buy）實(shí)現(xiàn)?授權(quán)策略（Policy）:允許（accept）?規(guī)則方向（NicType）:入網(wǎng)協(xié)議類型（IpProtocol）：TCP（tcp）端口范圍（PortRange）：80/80?授權(quán)對象（SourceCidrlp）:/0?優(yōu)先級（Priority）:1上面的建議僅對公網(wǎng)有效，內(nèi)網(wǎng)請求嚴(yán)格不建議使用DR網(wǎng)段，請參加下文禁止一個入網(wǎng)請求規(guī)則禁止一條規(guī)則就比較簡單。只需要配置一條拒絕策略，但是同時設(shè)置較低的優(yōu)先級即可，這樣當(dāng)需要的時候您可以通過配置其它的高優(yōu)先級的規(guī)則覆蓋這條規(guī)則即可。例如下面就設(shè)置了拒絕6379端口被訪問。?網(wǎng)卡類型（NicType）:內(nèi)網(wǎng)（intranet）?授權(quán)策略（Policy）:拒絕（drop）?規(guī)則方向（NicType）:入網(wǎng)協(xié)議類型（IpProtocol）:TCP（tcp）端口范圍（PortRange）:6379/6379?授權(quán)對象（SourceCidrlp）:/0?優(yōu)先級(Priority):100經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)安全組規(guī)則不要使用CIDR或者IP授權(quán)對于經(jīng)典網(wǎng)絡(luò)的服務(wù)器，阿里云默認(rèn)不開啟任何內(nèi)網(wǎng)的入規(guī)則。內(nèi)網(wǎng)的授權(quán)一定要謹(jǐn)慎。*為了安全考慮，非常不建議開啟任何基于CIDR網(wǎng)段的授權(quán)*，對于彈性計(jì)算來說內(nèi)網(wǎng)的IP經(jīng)常變化的，其次這個IP的網(wǎng)段是沒有規(guī)律的，所以對于經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)我們只建議您通過安全組授權(quán)內(nèi)網(wǎng)的訪問。例如您在安全組sg-redis上構(gòu)建了一個redis的集群，為了只允許特定的機(jī)器訪問這個redis的服務(wù)器編組，例如sg-web，您不需要配置任何的CIDR，只需要添加一條入規(guī)則即可，指定相關(guān)的安全組id即可。?網(wǎng)卡類型（NicType）:內(nèi)網(wǎng)（intranet）?授權(quán)策略（Policy）:允許（accept）?規(guī)則方向（NicType）:入網(wǎng)協(xié)議類型（IpProtocol）：TCP（tcp）端口范圍（PortRange）：6379/6379?授權(quán)對象（SourceGroupId）:sg-web?優(yōu)先級（Priority）:1對于VPC類型的如果您已經(jīng)通過多個VSwitch規(guī)劃好了自己IP范圍設(shè)置，您可以通過CIDR設(shè)置，但是如果您的VPC網(wǎng)段不夠清晰的話也建議優(yōu)先考慮使用安全組作為入規(guī)則。將需要互相通信的云服務(wù)器加入同一個安全組在上一篇中我們提到，一個云服務(wù)器最多可以屬于5個安全組。還有一條原則是同一安全組之間的云服務(wù)器是網(wǎng)絡(luò)互通的如果您在規(guī)劃的時候已經(jīng)有多個安全組，而直接設(shè)置多個安全規(guī)則過于復(fù)雜的話，您可以選擇需要內(nèi)網(wǎng)通信的機(jī)器，將它們加入同一個安全組即可。安全組是區(qū)分網(wǎng)絡(luò)類型的，對于一個經(jīng)典類型的云服務(wù)器只可以選擇加入經(jīng)典網(wǎng)絡(luò)的安全組，對于VPC類型的云服務(wù)器只可以加入本VPC的安全組。這里也不建議您將所有的云服務(wù)器都加入一個安全組，將會使得您的安全組規(guī)則設(shè)置變成夢魘。對于一個中大型應(yīng)用來說，每個服務(wù)器編組的角色不同，要合理的規(guī)劃自己的入方向請求和出方向請求是非常有必要的。加入一個安全組非常簡單，您可以在控制臺選擇一個云服務(wù)器，然后點(diǎn)擊更多->選擇安全組管理即可，或者選擇實(shí)例詳情，進(jìn)入本實(shí)例安全組查看進(jìn)行操作。如果您對阿里云的OpenApi非常熟悉，您可以參考使用OpenApi彈性管理云服務(wù)器ECS(原文鏈接：https://yq.aliyun.com/articles/69135?spm=5176.100239.blogcont71050.23.oMZ6fa)，您可以通過OpenApi方便的進(jìn)行批量操作，對應(yīng)的python片段如下：defjon_sg(sg_d^n^ance_d)^^^^lrequest=JoinSecurityGroupRequest()request.set_InstanceId(instance_^)^Hrequest.set_SecurityGroupId(Sg_^)^Hresponse=_sen^_request(request)Hrespon#sendopenapireqUest^^Hdef_send_request(reqUest)：^Hrequest.set_accept_format('json')response_str=clt.do_action(request)^^B(response_str)^^^^^^^^Hresponse_detail=json.loads(response_str)returnresponse_detail^^^^^^^^^^^lexceptException將云服務(wù)器移除安全組如果云服務(wù)器加入不合適的安全組，將會導(dǎo)致暴漏或者Block您的服務(wù)，這個時候你可以選擇將服務(wù)器從這個安全組中移除。由于云服務(wù)器必須屬于一個安全組，您需要另外一個安全組。加入一個安全組非常簡單，您可以在控制臺選擇一個云服務(wù)器，然后更多->選擇安全組管理即可，或者選擇實(shí)例詳情，進(jìn)入本實(shí)例安全組查看進(jìn)行操作。將云服務(wù)器從安全組移出，將會導(dǎo)致這個云服務(wù)器和當(dāng)前安全組內(nèi)的網(wǎng)絡(luò)不通，建議您做好充分的測試。對應(yīng)的python片段如下defeave_sg(sg_d^nstan^e_id)^^^^lrequest=LeaveSecurityGroupRequest()request.set_InstanceId(instance_id)^^Hrequest.set_SecurityGroupId(Sg_^)^^Hresponse=_sen^_request(request)^Hreturnresponse^^^^^^^^^^^^H#sendopenapidel_send_lLqUesl(.eqUesl):^^^^^^Mrequest.set_accept_format('json^^^^Bresponse_str=clt.do_action(request)^^B(response_str)^^^^^^^^Hresponse_detail=json.loads(response_str)returnresponse_detail^^^^^^^^^^^lexceptException定義合理的安全組名稱和TAG合理的安全組名稱和描述非常有助于您快速的識別當(dāng)前的復(fù)雜的規(guī)則的組合含義。所