默认情况下,VPC内的不同交换机下的ECS实例可以通过系统路由相互访问。你可以通过配置安全组规则,使其互相隔离。
本操作以网段为172.16.0.0/12的VPC为例,在该VPC下有三个交换机分别为VS1(172.16.1.0/24)、VS2(172.16.2.0/24)和VS3(172.16.3.0/24)。
每个交换机下分别创建一个云服务器ECS实例,如下图所示。这三个ECS实例都加入了默认安全组2内,出方向允许所有访问,入方向只开放TCP协议的22和3389端口,以及ICMP协议所有端口。
默认情况下,这三个ECS实例可以私网互通。你可以通过将这三个ECS实例加入到不同的安全组内实现VPC内私网隔离。
操作步骤
1、登录云服务器ECS管理控制台。
2、在左侧导航栏,单击网络和安全>安全组,然后单击创建安全组。
3、在创建安全组对话框,输入安全组名称,网络类型选择专有网络,然后指定ECS实例所在的专有网络。单击确定。
4、单击立即设置规则,分别添加如下三条入方向授权规则:
规则1:开放ICMP协议所有端口。优先级可以设置100。数字越大,优先级越低。
规则2:拒绝全部来自交换机2(网段为172.16.2.0/24)的访问,优先级设为1。
规则3:拒绝全部来自交换机3(网段为172.16.3.0/24)的访问,优先级设为1。
5、在ECS实例列表页面,找到位于交换机1(网段为172.16.1.0/24)中的ECS实例,然后单击实例ID链接,进入详情页面。
6、在左侧导航栏,单击本实例安全组。
该实例目前只关联了一个VPC内的默认安全组。
7、单击加入安全组,然后在ECS实例加入安全组对话框中选择刚创建的安全组S1,单击确定。
8、单击默认安全组对应的移出,将该ECS实例从默认安全组中移出。
此时其它两个ECS实例(交换机1和交换机2中的ECS实例)已经无法通过私网访问这个ECS实例了。
9、重复上述步骤为另外两个交换机下的ECS实例分别创建两个安全组,然后将它们从默认安全组内移出,使三个交换机内的ECS实例两两不能互访。