安全组四元组规则的局限
五元组是通信术语。通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议。在云计算中通常用五元组来描述一个安全组规则。阿里云的安全组规则在设计之初做了简化,只支持四元组规则:
(源IP,目的IP,目的端口,传输层协议)
而且在实际规则设置过程中,并不是四元组中的每个属性都是允许用户设置的,具体地:
- 入规则,目的IP不允许设置,目的IP=规则所属安全组下所有IP
- 出规则,源IP不允许设置,源IP=规则所属安全组下所有IP
这样的设计在多数场景的确简化了用户设置,但也有不够灵活的问题:
- 入规则,无法限定源端口范围,所有源端口都放行
- 入规则,无法限定目的IP,当前安全组下所有IP都放行
- 出规则,无法限定源IP,当前安全组下所有IP都放行
- 出规则,无法限定源端口范围,所有源端口都放行
如果用户想精确控制源IP,源端口,目的IP,目的端口以及传输层协议,那就需要使用下面介绍的五元组规则。
五元组规则带来更大灵活性
五元组规则的定义:
(源IP,源端口,目的IP,目的端口,传输层协议)
五元组出规则举例:
源IP: 172.16.2.0/32
源端口: 22
目的IP: 10.12.9.70/32
目的端口: 不限制
传输层协议: TCP
授权策略: Drop
这条出规则禁止172.16.2.0/32通过22端口对10.12.9.70/32发起TCP访问。
已知需要五元组的典型场景
- 某些平台类网络产品会接入第三方厂商的解决方案为用户提供网络服务,为了防范这些产品对用户ECS发起非法访问就需要5元组规则精确控制出、入流量
- 一个默认组内不通安全组,如果你想精确控制组内若干ECS之间可以互相访问,则需要在安全组内设置5元组规则
使用OpenAPI设置五元组规则需要注意的几点
- 在授权、解除授权操作时,参数:SecurityGroupId,SourceGroupId,SourceCidrIp,SourcePortRange,DestGroupId,DestCidrIp,PortRange之间有何约束关系,可能是刚开始容易造成混乱的问题,现说明如下:
入规则:
参数 | 含义&约束关系 | |
---|---|---|
SecurityGroupId | 当前入规则所属的安全组ID,也是目的安全组ID | |
DestCidrIp | 目的IP范围,可选参数,如果指定DestCidrIp,则可以更精细地控制入规则生效的目的IP范围;如果不指定则入规则生效的IP范围=SecurityGroupId这个安全组下的所有IP | |
PortRange | 目的端口范围,必选参数 | |
DestGroupId | 不允许输入。因为入规则的目的安全组ID一定是SecurityGroupId | |
SourceGroupId | 入规则的源安全组ID,SourceGroupId与SourceCidrIp二者必选其一,如果二者都指定,则SourceCidrIp优先 | |
SourceCidrIp | 入规则的源IP范围,SourceGroupId与SourceCidrIp二者必选其一,如果二者都指定,则SourceCidrIp优先 | |
SourcePortRange | 源端口范围,可选参数,不填则不限制源端口 |
出规则:
参数 | 含义&约束关系 | |
---|---|---|
SecurityGroupId | 当前出规则所属的安全组ID,也是源安全组ID | |
DestCidrIp | 出规则目的IP,DestGroupId与DestCidrIp二者必选其一,如果二者都指定,则DestCidrIp优先 | |
PortRange | 目的端口范围,必选参数 | |
DestGroupId | 出规则的目的安全组ID。DestGroupId与DestCidrIp二者必选其一,如果二者都指定,则DestCidrIp优先 | |
SourceGroupId | 不允许输入,因为出规则的源安全组ID一定是SecurityGroupId | |
SourceCidrIp | 出规则的源IP范围,可选参数,如果指定SourceCidrIp则会更精细地限定出规则生效的源IP;如果不指定,则生效的源IP=SecurityGroupId这个安全组下的所有IP | |
SourcePortRange | 源端口范围,可选参数,不填则不限制源端口 |
- 安全组的OpenAPI是完全向前兼容的,基于最新的OpenAPI,你既可以授权、解除授权满足五元组的规则,也可以继续授权、解除授权只满足四元组的规则。相关OpenAPI的帮助文档链接:
AuthorizeSecurityGroup
AuthorizeSecurityGroupEgress
RevokeSecurityGroup
RevokeSecurityGroupEgress