虚拟私有云 VPC-通过安全组和网络ACL实现VPC的访问控制:控制外部对子网内实例的访问

时间：2024-07-22 11:02:58

虚拟私有云 VPC VPC网络安全

控制外部对子网内实例的访问

网络ACL可以控制流入/流出子网的流量，流量优先匹配网络ACL的规则，然后匹配安全组规则。

本示例如图5所示，子网Subnet-A内的两个业务实例E CS -A01和ECS-A02网络互通，并允许白名单实例远程登录业务实例，白名单实例的IP地址为10.1.0.5/32。白名单实例可能是VPC-A的其他子网或者其他VPC内的实例，也可以是本地计算机，可远程连接业务实例执行运维操作。因此，网络ACL和安全组规则需要放通白名单实例的流量，拦截来自其他网络的流量，规则配置如下：

网络ACL规则：
- 入方向：自定义规则A01允许白名单实例，通过SSH远程登录子网Subnet-A内的实例。默认规则拒绝其他网络流量流入子网。
- 出方向：网络ACL是有状态的，允许入站请求的响应流量流出，因此不用额外添加规则放通白名单实例的响应流量。默认规则拒绝其他网络流量流出子网。
安全组规则：
- 入方向：规则A01允许白名单实例，通过SSH远程登录子网Subnet-A内的实例。规则A02允许安全组内实例互通。其他流量无法流入安全组内实例。
- 出方向：规则A03允许所有流量从安全组内实例流出。