网络与安全
最近更新时间: 2023-03-22 10:55:29
网络与安全概述
云平台提供网络和安全功能,保障您的实例安全、高效、自由地对外对内提供服务。
加密登录方式
云平台提供两种加密登录方式:和SSH密钥对登录。用户可以自由选择两种方式安全的与云服务器进行连接。Windows系统实例不支持SSH密钥登录。
网络访问
同处于云平台上的云产品可以经由Internet访问(暂不支持),也可经由内网访问。
• Internet访问:Internet访问是云平台提供给实例进行公开数据传输的服务。实例被分配公网IP(暂不支持)地址以实现与网络上其他计算机进行通信。
• 内网访问:内网访问即局域网(LAN)服务,是云平台通过提供给实例内网IP地址,以实现同地域下的内网通信服务。
网络环境
云平台的网络环境可以分为:基础网络和私有网络(VPC)。
• 基础网络:基础网络是云平台上所有用户的公共网络资源池。适合刚开始认识和使用云平台的用户。
• 私有网络:私有网络是一块您在云平台上自定义的逻辑隔离网络空间。私有网络下的实例可被启动在预设的、自定义的网段下,与其他用户相互隔离。适合熟悉网络管理的用户。
安全组
安全组是一种有状态的包过滤功能虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,是云平台提供的重要的网络安全隔离手段。您可以使用以下方法来控制您的实例的访问权限:
• 创建多个安全组,并给每个安全组指定不同的规则。
• 每个实例分配一个或多个安全组,云平台将按照这些规则确定:哪些流量可访问实例、实例可以访问哪些资源。
• 配置安全组,以便只有特定的IP地址或特定的安全组可以访问实例。
弹性公网IP(暂不支持)
弹性公网IP地址(ElasticIP,EIP),是可以独立申请和持有的、某个地域下固定不变的公网 IP 地址。在以下情境下,推荐使用弹性公网IP:
• 实例可能会因为不可控原因宕机,需要相同IP地址的替代实例以保证访问。
• 实例没有公网IP地址,需要一个静态IP地址。
弹性网卡
弹性网卡(ElasticNetworkInterface,ENI)是绑定私有网络内云服务器的一种弹性网络接口,可在多个云服务器间自由迁移。弹性网卡在配置管理网络、搭建高可靠网络方案时有较大帮助。
内网服务
内网服务即局域网(LAN)服务,云服务之间经由内部链路互相访问。云平台上的云产品可以经由 Internet 访问,也可经由云平台内网互相访问。云平台机房均由底层万兆/千兆互联,提供带宽高、时延低的内网通信服务,帮助您灵活构建网络架构。
内网IP地址
概述
内网IP地址是无法通过Internet访问的IP地址,是内网服务的实现形式。每个实例都具有分配内网IP的默认网络接口(即eth0),内网IP地址可由云平台自动分配也可由用户自定义(仅在私有网络环境下)。
注意:在操作系统内部自行变更内网IP会导致内网通讯中断。
属性
• 内网服务具有用户属性,不同用户间相互隔离,即默认无法经由内网访问另一个用户的云服务。
• 内网服务具有地域属性,不同地域间相互隔离,即默认无法经由内网访问同账户下不同地域的云服务。
适用场景
内网IP可以用于负载均衡CLB、CVM实例之间内网互访、CVM实例与其他云服务(如CDN、CDB等)之间内网互访。
地址分配
每个云服务器实例在启动时都会被分配一个默认的内网IP地址。针对不同的网络环境,内网IP也有所不同:
• 基础网络:内网IP地址由云平台自动分配,不可更改。
• 私有网络:初始内网IP地址由云平台自动在VPC网段中任意分配一个地址,用户可在10.0.0.0/8、172.16.0.0/12和192.168.0.0/16三个网段内为云服务器实例自定义内网IP地址,具体的取值范围由实例所在私有网络决定。
内网DNS
DNS服务器地址
内网DNS服务负责域名解析,如果DNS配置有误会造成域名无法访问。云平台在不同地域均提供了可靠的内网DNS服务器。
内网DNS设置
当网络解析出现错误时,用户可以手动进行内网DNS设置。设置方法如下:
• 对于Linux系统用户。在云服务器上,通过编辑/etc/resolv.conf文件,修改云服务器DNS。运行命令vi/etc/resolv.conf,根据上表中对应的不同地域编辑修改DNSIP。
• 对于Windows系统用户。在云服务器上,打开【控制面板】-【网络和共享中心】-【更改适配器设备】,右键单击以太网【属性】,双击【Internet协议版本4】,修改DNS服务器IP。
使用控制台获取实例的内网IP地址
- 登录云服务器控制台。
- 云服务器列表中列出了您名下的实例,鼠标移动到云服务器的内网IP后,出现复制按钮,单击即可复制内网IP。
弹性网卡
弹性网卡(ElasticNetworkInterface,ENI)是绑定私有网络内云服务器的一种弹性网络接口,可在多个云服务器间自由迁移。弹性网卡在配置管理网络、搭建高可靠网络方案时有较大帮助。
弹性网卡具有私有网络、可用区和子网属性,只可以绑定相同可用区下的云服务器。一台云服务器可以绑定多个弹性网卡,具体绑定数量将根据云服务器规格而定。
相关概念
• 主网卡与辅助网卡:私有网络的云服务器创建时联动创建的网卡为主网卡,用户自行创建的网卡为辅助网卡,其中主网卡不支持绑定和解绑,辅助网卡支持绑定解绑。
• 主内网IP:弹性网卡的主要内网IP,在弹性网卡创建时由系统随机分配或用户自行制定,主网卡的主内网IP支持修改,辅助网卡的主内网IP不支持修改。
• 辅助内网IP:弹性网卡主IP以外绑定的辅助内网IP,由用户在创建弹性网卡或编辑弹性网卡时自行配置,支持绑定和解绑。
• 弹性公网IP:与弹性网卡上的内网IP一一绑定。
• 安全组:弹性网卡可以绑定一个或多个安全组。
• MAC地址:弹性网卡有全局唯一的MAC地址。
应用场景
• 内网、外网、管理网隔离:重要业务的网络部署一般会要求数据传输内网、外网和管理网三网隔离,通过不同的路由策略和安全组策略保证网络之间的数据安全和网络隔离。您可以像物理服务器一样,为云服务器绑定三个位于不同子网的弹性网卡来实现三网隔离。
• 高可靠应用部署:系统架构中的关键组件,都需要通过多机热备来保证系统的高可用性。云平台提供了可以灵活绑定和解绑的弹性网卡及内网IP,您可以配置Keepalived的容灾设置实现关键组件的高可用部署。
使用限制
根据CPU和内存配置不同,云服务器可以绑定的弹性网卡数和单网卡绑定内网IP数有较大不同,网卡和单网卡IP配额数如下表所示:
| 云服务器配置 | 弹性网卡数 | 网卡绑定IP数 |
|---|---|---|
| CPU: 1核 内存: 1G | 2 | 2 |
| CPU: 1核 内存: > 1G | 2 | 6 |
| CPU: 2核 | 2 | 10 |
| CPU: 4核 内存: < 16G | 4 | 10 |
| CPU: 4核 内存: > 16G | 4 | 20 |
| CPU: 8~12核 | 6 | 20 |
| TCPU: >12核 | 8 | 30 |
配置操作指南
云服务器若需要使用弹性网卡,请参照以下配置步骤完成相应内容:1.创建弹性网卡。2.弹性网卡绑定云服务器。3.配置云服务器和私有网络路由表,参见私有网络与云主机的路由及安全配置。4.进行云服务器内的弹性网卡配置。5.分配内网IP。可根据需求参见分配内网IP(云服务器系统内)或分配内网IP(Qcloud控制台)。
更多弹性网卡相关操作请参见弹性网卡操作指南。
API概览
此处展示弹性网卡与云服务器相关的API接口,如下表所示。更多弹性网卡相关操作请参见弹性网卡API概览。
| 接口功能 | Action ID | 功能描述 |
|---|---|---|
| 创建弹性网卡 | CreateNetworkInterface | 创建弹性网卡 |
| 弹性网卡申请内网 IP | AssignPrivateIpAddresses | 弹性网卡申请内网 IP |
| 弹性网卡绑定云主机 | AttachNetworkInterface | 弹性网卡绑定云主机 |
登录密码
为保证实例的安全可靠,云平台提供两种加密登录方式:密码登录和SSH密钥对登录。不同操作系统云服务器的用户可以分别参考自定义配置Windows云服务器与自定义配置Linux云服务器的设置信息部分,选择加密方式。
密码是每台云服务器实例专有的登录凭据。任何拥有实例登录密码的人都可以通过被安全组允许的公网地址远程登录云服务器实例。因此,建议您使用较为安全的密码,有效保管并不定期修改。
设置初始密码
• 选择【自动生成密码】的用户,会在控制台站内信中收到初始密码。
• 选择【设置密码】的用户,自定义的密码即为初始密码。
- 选择自定义配置云服务器的用户,在设置主机名及登录方式部分可以选择登录方式,默认为【设置密码】。
- 按照规定的密码字符限制,输入主机密码和确认密码,单击立即申请,初始密码设置成功,待云服务器实例分配成功。
设置密码的字符限制:
o Linux云服务器密码需8到16位,a-z和A-Z和0-9和()~!@#$%^&*-+=_|{}:;'<>,.?/中至少包括两项。 o Windows云服务器密码需12到16位,a-z和A-Z和0-9和()~!@#$%^&*-+=_|{}:;'<>,.?/中至少包括三项。
查看密码
自动生成密码,会发送到控制台站内信中。单击需要查看的信件即可查看到初始密码。登录云服务器控制台,单击右上方信封样式站内信图标。
重置密码
注意:只有关机状态下才可以对云服务器进行重置密码。如果云服务器处于运行中重置密码,将强制关机,可能会导致数据丢失或文件系统损坏。 - 登录云服务器控制台。
- 关机需要重置密码的云服务器。
- 打开密码重置框。
o 对于单个关机的实例,在右侧操作栏中,单击【更多】-【重置密码】。
o 对于批量实例,勾选所有需要重置密码的主机,在列表顶部,单击【重置密码】,即可批量修改主机登录密码。对于不能重置密码的实例会显示原因。 - 在重置密码弹出框中输入新密码、确认密码,单击【下一步】。
- 等待重置成功,您将收到重置成功的站内信消息,即可使用新密码开机使用云服务器。
SSH密钥
为保证实例的安全可靠,云平台提供两种加密登录方式:密码登录和SSH密钥对登录。本文档介绍SSH密钥对登录的相关配置内容。不同操作系统云服务器的用户可以分别参考自定义配置Windows云服务器与自定义配置Linux云服务器的设置信息部分,选择加密方式。
SSH密钥概述
云平台建议您使用 SSH 密钥对登录 Linux 实例。SSH 密钥对是通过加密算法生成的一对密钥。云平台创建的 SSH 密钥对采用 RSA 2048位的加密方式,生成包括公有密钥(公钥)和私有密钥(私钥):
• 公钥:SSH 密钥对成功生成后,云平台仅存储公钥。对于 Linux 实例,公钥内容存储在 ~/.ssh/authorized_keys 文件中。
• 私钥:您需要下载并妥善保管私钥,私钥仅一次下载机会,云平台不会保存您的私钥。拥有您的私钥的任何人都可以解密您的登录信息,因此您需将私钥保存在一个安全的位置。
您可以通过密钥对安全地与云服务器进行连接,使用密钥对登录云服务器比使用常规密码更加安全。您只需在创建实例时指定密钥对,或在实例创建后绑定密钥对,便可使用私钥登录 Linux 实例,无需输入密码。
功能与优势
相较于传统的用户名和密码认证方式,使用SSH密钥有以下优势:
• SSH密钥登录认证更为安全可靠,可以杜绝暴力破解威胁。
• SSH密钥登录方式更简便,只需在控制台和本地客户端做简单配置即可远程登录实例,再次登录时无需再输入密码。
使用限制 • 仅支持Linux实例。
• 云平台不会保管您的私钥信息,用户需要在创建SSH密钥10分钟内点击"下载"按钮获取私钥,并且妥善保管。
• 一个Linux实例只能绑定一个SSH密钥。如果您的实例已绑定密钥,绑定新的密钥会替换原来的密钥。
• 基于数据安全考虑,加载密钥需要在关机状态下进行。
• 为提高云服务器的安全性,实例绑定密钥后,将默认禁用密码登录方式。若需同时使用密码登录,请前往云服务器控制台 重置实例密码。安全组
安全组概述
安全组是一种有状态的包过滤功能虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,是云平台提供的重要的网络安全隔离手段。
• 安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的基础网络云服务器或弹性网卡实例加到同一个安全组内。
• 您可以通过安全组策略对实例的出入流量进行安全过滤,实例可以是基础网络云服务器或弹性网卡实例。
• 您可以随时修改安全组的规则。新规则立即生效。
安全组模板
安全组支持自定义创建和模板创建,目前提供三个模板:
• Linux放通22端口:仅暴露SSH登录的TCP22端口到公网,内网端口全通。
• Windows放通3389端口:仅暴露MSTSC登录的TCP3389端口到公网,内网端口全通。
• 放通全部端口:暴露全部端口到公网和内网,有一定安全风险。
安全组规则
安全组规则可控制允许到达与安全组相关联的实例的入站流量,以及允许离开实例的出站流量(从上到下依次筛选规则)。默认情况下,新建安全组将AllDrop(拒绝)所有流量,云服务器绑定一个无规则的安全组拒绝所有流量。
对于安全组的每条规则,您可以指定以下几项内容:
• 类型:您可以选择系统规则模板,或者自定义规则。
• 来源或目标:流量的源(入站规则)或目标(出站规则),请指定以下选项之一:
o 用CIDR表示法,指定的单个IP地址。
o 用CIDR表示法,指定的IP地址范围(例如:203.0.113.0/24)。
o 引用安全组ID,您可以引用以下安全组的ID之一:
当前安全组。(表示与安全组关联的CVM可/不可互访)
其他安全组。同一区域中的另一个安全组ID。
o 引用参数模板中的IP地址对象或IP地址组对象。
• 协议端口:填写协议类型和端口范围,您也可以引用参数模板中的协议端口或协议端口组。
• 策略:允许或拒绝。
注意:
o 引用安全组ID法作为高阶功能,您可选择使用。所引用安全组的规则不会被添加到当前安全组。
o 在配置安全组规则时,如果在来源/目标中输入安全组ID,表示仅将此安全组ID所绑定的CVM、弹性网卡的内网IP地址作为来源/目标,不包括外网IP地址。
安全组优先级
• 实例绑定多个安全组时的优先级为:数字越小,优先级越高。
• 安全组内规则的优先级为:位置越上,优先级越高。
实例绑定安全组时,如果该安全组内无任何规则,将默认拒绝所有流量。
安全组的限制
• 安全组区分地域和项目,CVM只能与相同地域、相同项目中的安全组进行绑定。
• 安全组适用于任何处在网络环境下的CVM实例。
• 每个用户在每个地域每个项目下最多可设置50个安全组。
• 一个安全组入站方向或出站方向的访问策略,各最多可设定100条。
• 一个CVM可以加入多个安全组,一个安全组可同时关联多个CVM,数量无限制。
• 基础网络内云服务器绑定的安全组无法过滤来自(或去往)云平台上的CDB、弹性缓存(Redis和Memcached)的数据包。如果您需要过滤这类实例的流量,您可以使用iptables实现。
| 功能描述 | 数量 |
|---|---|
| 安全组 | 50 个/地域 |
| 访问策略 | 100 条/入站方向,100 条/出站方向 |
| 实例关联安全组个数 | 无限制 |
| 安全组内实例的个数 | 无限制 |
注意:如果您有大量实例需要互访,可以将他们分配到多个安全组内,并通过安全组ID的规则配置进行互相授权,允许互访。
操作指南
您可以使用云服务器控制台进行创建、查看、更新和删除等操作管理安全组及安全组规则。
快速入门
安全组是云平台提供的实例级别防火墙,可以对任意云服务器进行入/出流量控制。
- 登录云服务器控制台,在左导航窗格中单击【安全组】。
- 单击【新建】按钮,输入安全组的名称(例如my-security-group),选择模板创建或自定义创建,确认出入站规则后,单击【确定】。
- 在安全组列表右侧单击【加入实例】按钮,勾选需要关联的云主机,即可完成安全组关联云主机的操作。
或者 - 您还可以进入云主机列表页,查看或修改某云主机已绑定的的安全组。在【云主机】列表页选择需要调整安全组的云主机,右侧单击【更多】-【配置安全组】,选择安全组绑定。
创建安全组 - 打开控制台-安全组。
- 在左侧导航窗格中,单击【安全组】。
- 单击【新建】按钮。
- 输入安全组的名称(例如:my-security-group)并提供说明。
- 单击【确定】,完成创建。
向安全组中添加规则 - 打开控制台-安全组。
- 在左侧导航窗格中,单击【安全组】。
- 选择需要更新的安全组,单击【安全组ID】。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。
- 在入/出站规则选项卡上,单击【编辑】。从选项卡中选择用于入/出站规则的选项,然后填写所需信息,完成后,单击【保存】。
配置CVM实例关联安全组 - 打开控制台-云主机。
- 在左侧导航窗格中,单击【云主机】。
- 在需要配置安全组的实例右侧操作栏中,单击【更多】,单击【配置安全组】。
- 在配置安全组对话框中,从列表中选择一个或多个安全组,单击【确定】。
或者 - 打开控制台-安全组。
- 单击左侧导航窗格中的【安全组】。
- 选择需要关联的安全组,单击操作栏中的【加入实例】或【移出实例】按钮。
- 在加入/移出云主机弹出框中,添加或删除需要关联本安全组的云主机,单击【确定】。 导入导出安全组规则
- 打开控制台-安全组。
- 在左侧导航窗格中,单击【安全组】。
- 选择需要更新的安全组单击【安全组ID】。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。
- 从选项卡中选择用于入/出站规则的选项,然后单击【导入规则】按钮。如原来您已有规则,则推荐您先导出现有规则,新规则导入将覆盖原有规则;如原来为空规则,则可先导出模板,编辑好模板文件后,再将文件导入。
克隆安全组 - 打开控制台-安全组。
- 在左侧导航窗格中,单击【安全组】。
- 单击列表中安全组对应【克隆】按钮。
- 在克隆安全组对话框中,选定目标地域、目标项目后,单击【确定】。若新安全组需关联CVM,请重新进行安全组配置。
删除安全组 - 打开控制台-安全组。
- 在左侧导航窗格中,单击【安全组】。
- 单击列表中安全组对应【删除】按钮。
- 在删除安全组对话框中,单击【确定】。若当前安全组有关联的CVM,则需要先解除安全组才能进行删除。
安全组与网络ACL的区别
安全组云API
安全组的开发者工具,您可通过云API来完成安全组操作、安全组与CVM实例的配置管理等,详见安全组相关接口。