云实践 | 百度云网络与安全最佳实践（二）安全组（进阶篇）的配置

小伙伴们！还记得上一期的云实践内容吗？

百度云网络与安全最佳实践（一）

安全组（入门篇）的配置

吃了上一期干货的小伙伴们！有没有觉得干货很实在？欢迎随时留言交流技术吼！！今天继续上干货——百度云网络与安全最佳实践（二）安全组（进阶篇）的配置！！

万年不变的小提示：双击图片就可以查看清晰大图哦！重点图片点开看！

百度云网络与安全最佳实践（二）

安全组（进阶篇）的配置

百度云安全组的配置方案

基于此系列网络与安全最佳实践（一）安全组（入门篇），我们已经学习了百度云的安全组是通过设置白名单，实现有状态防火墙的服务，帮助云服务器达到更好访问管理与控制，本次示例主要是介绍安全组的批量操作与安全组作为规则被引用的功能，通过以上功能，实现对大批量云服务更方便、更高效的统一管理与配置。

需求1

 为了增加安全性，每个云服务都需要细粒度的访问控制，同时业务系统也会要求灵活组合各种安全组策略，并将此类安全策略（批量）赋予多个云服务器来授权访问，实现灵活的网络访问控制。

解决方案1

配置步骤

1. A、B同时配置安全组策略（策略1、策略2、策略3）。

至此，实现多个安全组批量应用到多个云服务器的功能。

需求2：

要求上图的系统中Cluster1内网互通，Cluster2内部互通、Cluster3内部互通，但是Cluster1、2、3之间内网隔离(不通），但是要求A、B、C、D、E、F通过各自的EIP，实现公网访问互通。

通过在多个安全组中，逐条设置各个服务器的内网IP地址，可以实现集群内网互通、集群之间隔离，但是当集群Cluster中经常增减服务器时，更新安全组配置非常复杂也容易配置错误，所以使用安全组作为规则被引用的功能能很好解决这个问题。

配置步骤

 1. 创建Cluster1安全组，应用到A、B云服务器上，然后修改Cluster的规则，入方向关闭所有流量

2. Cluster1的出方向规则，关闭所有策略后，增加一条规则引用安全组Cluster1自己

3. 同理创建安全组Cluster2和Cluster3 与Cluster1的配置类似，分别应用到C、D和E、F上然后出方向策略引用安全组自己。

4. 通过以上方案，Cluster1、2、3实现集群内部内网互通，集群之间内网不同，同时公网之间不通。

5. 为了实现公网互通，需要再创建一个安全组，可以命名为“公网互通”，入方向关闭所有流量，出方向允许A、B、C、D、E、F的公网EIP（假设其EIP IP地址：180.1.1.1~180.1.1.6）。

6. 安全组Clouster1、Cluster2、Cluster3分别在出方向增加安全策略，引用安全组“公网互通”。

至此，实现了Cluster1、2、3集群内，内网互通、集群之间内网不通，但可以通过公网互相访问。

百度云

微信：baidu_cloud

https://cloud.baidu.com

长按二维码关注