阿里云实现内网互通

1、首先第一步应该是提交工单,告知两台服务器的外网IP,然后通过工单进行反馈。

2、如果地域都是一样那就好办很多,比如参考官方的案例:https://help.aliyun.com/document_detail/25475.html?spm=5176.doc25385.2.1.dRRsk9

官方内容如下:

除了提供安全保障,您还可以使用安全组实现:

  • 案例 1:内网互通
  • 案例 2:拦截特定 IP 或 端口
  • 案例 3:只允许特定 IP 远程登录到实例
  • 案例 4:只允许实例访问外部特定 IP

说明:本文档介绍的案例仅适用于经典网络

安全组有如下限制

  • 每个用户最多创建 100 个安全组
  • 每个安全组最多添加 1000 个实例
  • 每个实例最多加入 5 个安全组
  • 每个安全组最多创建 100 条规则

案例 1:使用安全组实现内网互通

在经典网络下,您可以使用安全组实现不同 ECS 实例间的内网互通。有两种情况:

  • 场景 1:实例属于同一个地域,同一个账号
  • 场景 2:实例属于同一个地域,不同账号

场景 1:同一地域,同一账号

同一个地域内,同一个账号下,经典网络下可以通过安全组规则设置云服务器之间内网互通。

同一个安全组下的云服务器,默认内网互通。不同的安全组下的云服务器,默认内网不通。要实现内网互通,有以下解决办法:

  • 方案 1:可以把云服务器放入到相同的安全组中,就可以满足内网都互通了。
  • 方案 2:如果云服务器不在同一个安全组内,两个安全组互相内网授权安全组访问类型的安全组规则。在 授权对象 中添加对方的 IP 地址即可。

场景 2:同一地域,不同账号

同一个地域内,不同账号下,经典网络下可以通过安全组规则设置两台云服务器之间内网互通。比如:

  • UserA 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceA(内网 IP:A.A.A.A),InstanceA 所属的安全组为 GroupA;
  • UserB 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceB(内网 IP:B.B.B.B),InstanceB 所属的安全组为 GroupB。

这种情况下,可以通过安全组配置实现 InstanceA 和 InstanceB 在内网上互通。步骤如下:

  1. UserA 为 GroupA 添加一条这样的规则:在 内网入方向 授权 B.B.B.B 的 IP 可以访问 GroupA 下的所有 ECS 云服务器。
  2. UserB 为 GroupB 添加一条这样的规则:在 内网入方向 授权 A.A.A.A 的 IP 可以访问 GroupB 下的所有 ECS 云服务器。

这样两台实例就可以互通了。

案例 2:使用安全组屏蔽、拦截、阻断特定 IP 或端口对 ECS 实例的访问

您可以使用安全组屏蔽、拦截、阻止特定 IP 对用户云服务器的访问,或者屏蔽 IP 访问服务器的特定端口。操作如下:

  1. 登录 云服务器管理控制台
  2. 找到要配置的实例。
  3. 打开实例的 本实例安全组,然后单击 配置规则
  4. 单击 公网入方向,然后单击 添加安全组规则
  5. 授权策略选择 拒绝授权对象 输入需要屏蔽的 IP 地址。单击 确定
  6. 如果是针对特定端口的限制,比如屏蔽一个特定 IP 访问自己 ECS 实例的 22 端口,授权策略 选择 拒绝协议类型 选择 TCP,端口范围填写为 22/22,授权对象填写待屏蔽的 IP 地址和子网掩码,格式为 x.x.x.x/xx,例如 10.1.1.1/32。然后单击 确认

案例 3:只允许特定 IP 远程登录到实例

通过配置安全组规则可以设置只让特定 IP 远程登录到实例。只需要在公网入方向配置规则就可以了。

以 Linux 服务器为例,设置只让特定 IP 访问 22 端口。

  1. 添加一条公网入方向安全组规则,允许访问协议类型选择 TCP端口22/22授权类型地址段访问授权对象填写允许远程连接的 IP 地址段,格式为 x.x.x.x/xx,即 IP地址/子网掩码,本例中的地址段为 182.92.253.20/32。优先级 1
  2. 再添加一条规则,拒绝访问协议类型选择 TCP端口22/22授权类型地址段访问授权对象写所有 0.0.0.0/0,优先级为 2
  3. 再添加一条规则,允许访问协议类型选择全部,端口全部默认,授权对象写所有 0.0.0.0/0优先级3

添加完毕后总共如下三条规则就可以了。设置完之后:

  • 来自 IP 182.92.253.20 访问 22 端口优先执行优先级为 1 的规则允许。
  • 来自其他 IP 访问 22 端口优先执行优先级为 2 的规则拒绝了。
  • 访问其他端口执行优先级为 3 的规则允许。

案例 4:只允许实例访问外部特定 IP

您可以先配置一条公网出方向规则禁止访问任何 IP(0.0.0.0/0),然后再添加一条公网出方向规则允许实例对外访问的IP。允许规则的优先级设置成高于禁止规则的优先级。

    1. 单击 公网出方向>添加安全组规则授权策略选择 拒绝授权对象 0.0.0.0/0,优先级可设置为比1大的数字。
    2. 在公网出方向继续添加安全组规则,授权策略选择 允许授权对象是允许实例访问的特定外部 IP。
    3. 在实例内部进行 ping、telnet 等测试,访问非允许规则中列出的 IP均不通,说明安全组的限制已经生效。
时间: 2024-10-13 12:36:02

阿里云实现内网互通的相关文章

阿里云不同vpc下的内网互通

背景 最近遇到阿里公有云vpc互通的问题:1.同一个账户不同vpc互通(地域一样):2. 两个阿里公有云帐号要实现内网互通(两个都是vpc网络.地域一样).阿里云的解决方案是高速通道,下面把详细步骤记录一下. 高速通道简介 阿里云高速通道(Express Connect)服务,帮助您在VPC间.VPC与本地数据中心间搭建私网通信通道,提高网络拓扑的灵活性和跨网络通信的质量和安全性.使用高速通道可以使您避免绕行公网带来的网络质量不稳定问题,同时可以免去数据在传输过程中被窃取的风险. VPC间内网通

Navicat通过云主机内网连接阿里云RDS

背景 公司为了安全起见,RDS设置只允许阿里云主机的内网端可以访问.这就意味,如果要操作RDS就需要连接到云主机上之后通过mysql shell操作.操作起来很复杂麻烦,今天看同事用Navicat for mysql连接RDS成功后,特地记录一下,以防忘记. 步骤 1.打开Navicat for mysql--右键--新建连接 2.输入RDS地址,这个地址是在云主机内网连接的内网地址,不需要是公网地址 3.设置SSH账号密码 4.测试 来自为知笔记(Wiz)

阿里云centos内docker的搭建

由于docker在17之后的版本分成了docker EE(企业版)和docker CE(社区版),那么我们在安装的时候就要开始纠结的选择了,这里我推荐了docker CE(社区版). 实际上这两个版本是没有什么本质的区别的,只是企业版多了一些收费的高级选项,然而针对个人或小型企业并没有这个需要,所以,我选择CE版本的安装,具体步骤如下: (我参照了官方文档:https://docs.docker.com/install/linux/docker-ce/centos/#install-docker

阿里云内网和公共NTP服务器

内网NTP服务器 阿里云为云服务器ECS提供了内部的NTP时间服务器,如下: 10.143.33.50 10.143.33.51 10.143.33.49 10.143.0.44 10.143.0.45 10.143.0.46 公共NTP服务器 虽然非阿里云的设备不能用阿里云的内网NTP服务器,但是阿里云提供了公共NTP服务器,供互联网上的设备使用.其主要特性是GPS.北斗授时.原子钟守时的一级时间源多机房.多链路冗余. 服务域名是: Unix类系统:time1-7.aliyun.com    

云计算进入下半场,阿里云抢先布局多云连接市场

进入2017年就走进了云计算的第十一个年头.在前十年中,已经发展起了以AWS.Azure.Google Cloud.IBM Cloud等为代表的国际公有云阵营,以及阿里云.腾讯云.百度云.网易云等为代表的中国公有云阵营,还有UCloud.青云.迅达云等为代表的国内公有云第二阵营,一个多云的格局已经形成. 以多云格局为标志,云计算产业正式进入下半场.实际上,除了公有云外,私有云也已经取得了普遍市场的认可.中国信息通信研究院<中国私有云发展调查报告(2017年)>报告显示,2016年,中国私有云市

通过rinetd实现port转发来訪问内网的服务

一.   问题描写叙述 通过外网来訪问内网的服务 二.   环境要求 须要有一台能够外网訪问的机器做port映射.通过数据包转发来实现外部訪问阿里云的内网服务 三.   操作方法 做port映射的方案有非常多.Linux下的ssh tunnel和windows下的portmap等等,这里分享一个更稳定和简单的小工具rinetd 四.   下载安装 $ wget http://www.boutell.com/rinetd/http/rinetd.tar.gz $ tar -xvf rinetd.t

通过rinetd实现端口转发来访问内网的服务

一.   问题描述 通过外网来访问内网的服务 二.   环境要求 需要有一台能够外网访问的机器做端口映射,通过数据包转发来实现外部访问阿里云的内网服务 三.   操作方法 做端口映射的方案有很多,Linux下的ssh tunnel和windows下的portmap等等,这里分享一个更稳定和简单的小工具rinetd 四.   下载安装 $ wget http://www.boutell.com/rinetd/http/rinetd.tar.gz $ tar -xvf rinetd.tar.gz $

关于阿里云SLB remote addr显示为公网IP分析

nginx日志设置如下 log_format access '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" '                  '"$http_user_agent" "$request_body" "$http_x_forwarded_for"

Redhat配置yum源(使用阿里云yum Repo)

1. 查看版本号和系统类别: cat /etc/redhat-release archor cat /etc/issue && arch 2.检查yum是否安装,以及安装了哪些依赖源并删除yum包 rpm -qa |grep yum 显示如下: yum-utils-1.1.31-24.el7.noarchyum-langpacks-0.4.2-3.el7.noarchyum-metadata-parser-1.1.4-10.el7.x86_64yum-rhn-plugin-2.0.1-4.