AWS | Azure | GCPと国際版阿里雲/腾讯雲/華為雲グローバル六大雲メーカー安全グループとネットワーク配置ベビーシッター級チュートリアル
クラウドコンピューティングの宇宙には、無数のネットエンジニアの涙に浸透した至理名言が二つある
「ネットワークが通じていない、大きな確率はルーティングやセキュリティグループが開いていない。」と言いました
「ネットがハッキングされ、セキュリティグループが39.0.0/0を開いた確率が高い」
海外での業務、多国籍の枠組み、あるいは曇りの配置のit人として、毎日最も多く付き合っているのは各大手クラウドメーカーのネットワーク配置である。多くの人は「マウスをクリックしてポートを開ける」と思っていますか?しかし、実際に曇りの枠組みになると、大手工場ごとに管轄ロジック、用語、ピット位置が全く異なることがわかります。AWSの状態セキュリティグループ、AzureのNSG優先度、GCPのグローバルVPC…… 細部がはっきりしていない限り、ネットワークは深夜までチェックできない重則コアデータベースは直接公網で「裸で走る」。
今日のこの深いハードコア長文は、虚しいPPT理論を無視してネット全体で最も完全な6つの海外主流クラウドメーカー (AWS、Azure、GCP、OCI、Alibaba Cloud International、Tencent Cloud International) のネットワークトポロジとネットワークファイアウォール (セキュリティグループ) の「ベビーシッター級」実技ガイド。コレクションを提案します。肝心な時はこれがあなたのネットワークトラブルシューティングマニュアルです。
一、核心概念の整列: 大工場の黒い言葉に気絶しないでください。
キーボードを正式に叩く前に、6大メーカーの「黒話 (用語) 」を同じ次元に引き込まなければならない。奇妙なことに呼ばれていますが、基礎的な論理は三つのものにすぎません
プライベートネットワーク (ピット) 、ルーター/ルーティングテーブル (道路標識) 、ファイアウォール (門衛)
。
クラウドベンダー
プライベートネットワーク (VPC/VNet)
サブネット
ステータスファイアウォール (セキュリティグループ/コンポーネント)
サブネット/ネットワークレベルのファイアウォール
AWS
VPC (地域レベル)
サブネット (使用可能ゾーンレベル)
セキュリティグループ (ステータスあり)
ネットワークACL (ステータスなし)
アジュール
VNet (地域レベル)
サブネット
ネットワークセキュリティグループ (NSG)
同様にNSGを使用してサブネットを紐付けます。
GCP
VPC (グローバル/グローバル)
サブネット (地域レベル)
VPCファイアウォールルール (ステータスあり)
ラベル/サービスアカウントの組み合わせ管理
Oracle (OCI)
VCN (地域レベル)
サブネット (ゾーン/使用可能ゾーン)
Security List / NSG
セキュリティリスト (コンポーネントレベル)
アリババクラウドインターナショナル
VPC (地域レベル)
VSwitch (使用可能なゾーンレベル)
セキュリティグループ
ネットワークACL (ネットワークACL)
テンセントクラウドインターナショナル
VPC(リージョンレベル)
サブネット (使用可能ゾーンレベル)
セキュリティグループ
ネットワークACL(Network ACL)
コア基礎ロジック: 状態ありvs状態なし
これは新人が最も失敗しやすいところです
ステータス: あなたが入ってきたら、私はデフォルトであなたを外に出します。例えば、外部の80ポートアクセスを許可した場合、サーバが80ポートのパケットバックに応答した場合、発信ルールにランダムな高ポートを追加する必要はない。
ステータスなし (ネットワークACL/特定のルート): 出入りがはっきりしていて、それぞれの道を歩く。あなたは入所80ポートを運転したが、もしアウトバウンド規則が1024-65535の臨時ポートを運転していなければ、トラフィックはまだ途中で死んでいる。
二、六大海外大工場を詳しく理解する: 実技とピット回避ガイド
1. AWS (Amazon Web Services): ビッグブラザーの「二重防御」
AWSのネットワーク設計は極めて古典的で、多くのクラウドメーカーの模倣の対象でもある。その核心的な考え方は
地域レベルのVPCは異なる利用可能な地域 (AZ) サブネットに分けられ、状態のないNACLでサブネットのドアを守り、最後に状態のあるセキュリティグループでインスタンスのドアを守る。
🛠️ ゴールド設定パス:
カスタムVPCの作成: デフォルトVPCを無駄にしないで、自分でネットワークセグメントを計画してください (例: 10.0.0.0/16)。
サブネットの分割: 少なくともPublic Subnet (Internet Gatewayに関連付けられています。パブリックネットワークのルートがあります。
セキュリティグループ構成: インバウンド (Inbound): 正確なオープン。たとえば、Webサーバは80と443しか開いておらず、発信元アドレスは39.0.0/0またはALB (負荷分散) のセキュリティグループIDに設定されています。アウトバウンド (Outbound): デフォルトでは39.0.0/0ですべてが許可されています。コンプライアンスが厳しい場合は、特定のプライベート・ネットワーク・セグメントに制限する必要があります。
⚠AWS避坑血涙史:
セキュリティグループ引用: いつも馬鹿にipアドレスを書いてはいけない! AWSセキュリティグループの最も強力な機能は「発信元アドレスに別のセキュリティグループIDを入力できる」です。これは、「バックエンドセキュリティグループBだけがフロントエンドセキュリティグループAからのトラフィックを受信できる」と設定して、フロントエンドEC2がどのように柔軟に伸縮し、IPがどのように変化しても、ネットワークロジックは金湯のように固まっていることを意味します。
NACLデフォルトルール: カスタムNACLデフォルトはDeny Allです。あなたは、カスタムの塩化ナトリウムを構築した場合
ルールを追加するのを忘れて、サブネット全体が瞬時にネットの孤島になった。
2. Microsoft Azure: 優先度が最も高い「セキュリティグループリーダー」
マイクロソフトのAzureはプライベートネットワークを
VNet
。AzureのセキュリティコントロールのロジックはAWSと根本的に違います。
NSG (ネットワークセキュリティグループ)
NICにもサブネットにもバインドできます。また、Azureは優先度 (Priority、100-4096) の概念を導入した。
🛠️ ゴールド設定パス:
VNetとサブネットの作成: Azureのサブネットは使用可能なゾーンにバインドされておらず、地域レベルであるため、高可用性の導入がより柔軟になります。
NSGルールの設定: ルールの数字が小さいほど優先度が高くなります。ドッキング: 管理者が特定のIPから22/3389にアクセスできるようにし、優先度を100に設定しますHTTP/HTTPSを許可し、優先度を200に設定します残りのデフォルト。
⚠Azureピット血涙史:
デフォルトの3つの非表示ルール: AzureのNSGの下部には3つのデフォルトルールがあります (削除できません。より高い優先度でカバーするしかありません): 466vnetinbound: VNet内部のすべてのサブネットはデフォルトで相互運用されます466azureloadbalancerinbound: Azureプローブを許可します。DenyAllInBound: 残りのすべてをブロックします。多くの白は、異なるサブネットを分割して隔離したと思っている。その結果、開発環境が本番環境のデータベースに直接触れたのは、優先度の高いDenyルールが明示的に書かれていないため、サブネット間の通信がブロックされていることがわかった。
3. GCP (Google Cloud Platform): 常識を破った「グローバルネットワーク」と「タグマスター」
Googleクラウド (GCP) のネットワークアーキテクチャは六大工場で最も独占的である。
VPCはグローバル (グローバル) で、特定の地域 (Region) に属していない。
VPCにいる限り、世界各地のサブネットはデフォルトでグーグルのイントラネットを介して相互運用されている。
さらに素晴らしいのは、GCP
従来の意味でネットワークカードやサブネットをバインドするセキュリティグループはありません
。使っているのは
ファイアウォールルール (ファイアウォールルール) ネットワークタグまたはサービスアカウント
。
🛠️ ゴールド設定パス:
ネットワークラベルを定義します。たとえば、仮想マシンにラベルhttp-serverまたはbackend-dbを付けるなどです。
ファイアウォール・ルールの作成: 「トラフィックを許可し、ターゲット・ポート80,443」というルールを作成します。ターゲット (Targ
Et): 「指定したネットワークタグ」を選択し、http-serverに入力します。ソース (Source): 39.0.0/0を入力します。
⚠GCP避坑血涙史:
ラベルのスペルミス: ラベルはプレーンテキスト文字列です。仮想マシンでラベルをつけたのがweb-serverだが、ファイアウォールのルールで手を振ってweb_server (下線がハイフンになる) になった場合、グーグルには誤り訂正のヒントはないあなたのサービスは永遠にパブリックネットワークで消えてしまいます。
デフォルト拒否vsデフォルト許可: GCPデフォルトでは、いくつかのdefault-allow-internalルールが作成されます。デフォルトネットワークを使用している場合、世界中のすべての地域のマシンはデフォルトで互いにPingできるので、本番環境でこれらのルールを合理化することを覚えています。
4. OCI (Oracle Cloud inframework): 極限まで厳しい「デフォルト拒否」
甲骨文雲 (OCI) はここ数年、様々なコストパフォーマンスの高い無料コースと強力なハードウェア異軍突起が原因である。OCIのネットワークは
VCN (バーチャル・クラウド・ネットワーク)
。その安全ロジックはAWSとAzureの特徴を結合しています。
セキュリティリスト (セキュリティリスト、サブネットレベル)
そして
ネットワーク・セキュリティ・グループ (NSG、ネットワーク・クラス)
。
🛠黄金のポートフォリオ構築の道筋:
VCNの作成: 「VCN wiザード」を推奨します。Internet Gateway、NAT Gateway、ルーティングテーブルを自動的に揃えることができます。
セキュリティリストの代わりにNSGを選択: OCI公式は現在、NSGを推奨しています。セキュリティリストはサブネット全体に適用され、粒度が太すぎるからです。
ステーションルールの追加: OCIのルールインタフェースは非常に直感的で、TCPプロトコルとポートを指定するために、Stateless (ステータスなし) またはステータスを選択します。
⚠OCI避坑血涙史:
鉄壁江山、デフォルト全関: OCIの初期の厳しさは各大手クラウドメーカーの中で一番高いです。仮想マシンを作成するときにパブリックネットワークIPを割り当て、コンソールでNSGを最大にしたとしても、マシンに接続できない確率が高い。
システム内部ファイアウォール (Ubuntu/Oracle Linux): これはOCIで最も有名な巨大な穴です! 公式ミラー内部 (オペレーティングシステムのiptablesまたはufw) は、デフォルトですべての受信トラフィックをブロックしています。SSHが入っているか (入っている場合) 、初期化スクリプト (Cloud-init) でiptablesを空にする必要があります
の命令は、外の流量が本当に入ってくる。
5. 阿里雲国際版 (Alibaba Cloud International): 大流量と高合併の効率的な統合
阿里雲国際版のネットワーク設計 (VPC) とセキュリティグループは論理的にAWSと非常に似ているが、管理の複雑さに多くのローカリゼーションとアジア開発者の習慣を最適化した。その安全成分は
一般セキュリティグループ
そして
企業レベルのセキュリティグループ
。
🛠黄金のポートフォリオ構築の道筋:
プライベートネットワークVPCとスイッチ (VSwitch) を作成する: 阿里雲のサブネットはスイッチ (VSwitch) と呼ばれることに注意してください。
セキュリティグループタイプの選択: 一般セキュリティグループ: グループ内のインスタンスはデフォルトで相互運用され、単一グループのサポートインスタンスが多い。企業レベルのセキュリティグループ: グループ内のインスタンスはデフォルトで隔離され、安全性が極めて高く、金融、電気商などの生産環境に適している。
ルール承認: 「アドレスセグメントアクセス」と「セキュリティグループグループ相互アクセス」をサポートします。
⚠阿里雲国際版避坑血涙史:
ICMP(Ping) はデフォルトでは通じない: 初心者がECSインスタンスを構築した後、習慣的にローカルでパブリックネットワークIPをPingし、通じないことを発見するとネットワークがハングアップした。実は阿里雲国際版のデフォルト安全グループルールにはICMPプロトコルが発行されていないことが多い。セキュリティグループに「プロトコルタイプ: ICMP」を追加すれば解決できる。
方向のブロック: 阿里雲は特定のポート (メールでよく使われる25ポートなど) をネットワークの基盤でブロックした。クラウドに独自のメールサーバを構築する場合は、作業指示を提出して個別に開封を申請しなければならず、セキュリティグループで開通することは役に立たない。
6.騰訊クラウド国際版 (Tencent Cloud International): 極めて流線型と微細化管理
腾讯雲国際版(Tencent Cloud) のネットワークアーキテクチャもVPCに基づいている。セキュリティグループの設計は「可読性」を非常に強調している
そして
「テンプレート化」。いくつかの標準的なセキュリティグループテンプレート (「汎用Webサーバーテンプレート」、「データベースはイントラネットテンプレートのみ許可」など) を作成し、ワンクリックで別のインスタンスにバインドできます。
🛠黄金のポートフォリオ構築の道筋:
VPCとサブネットを作成します。
セキュリティグループのインスタンスを利用して関連付ける: 腾讯クラウドは、1枚のネットワークカードが複数のセキュリティグループをバインドすることをサポートしています。
ルールの有効順序: 上から下まで、マッチングが成功すると、次のマッチングはなくなります (Azureや従来のファイアウォールのロジックに似ています。これはAWSのすべてのルールとは異なります)。
⚠テンセント雲国際版は血と涙の歴史を避けます。
複数のセキュリティグループが重畳された場合の「独占効果」: 腾讯雲の1台のCVMインスタンスは複数のセキュリティグループを結びつけることができるからルールは順番に一致し、1つのグループ内に拒否/許可の区別があります。誤って「Deny All」を持つセキュリティグループを一番上に移動すると、次の入念に構成された「hash」ルールは瞬時に無効になります。
三、高級
構造避難所: 曇りネットワーク配置の通病と解法
あなたが設計者になって、一つのプロジェクトで上記のいくつかのメーカーを同時に手配する必要があるとき、本当の挑戦は始まったばかりです。
1.クラウドを越えてつながる「MTUがけ」
VPNや専用線でAWS VPCとAzure VNetをつなぐと、奇妙な現象がよく発生します
トラフィックの少ないPing、SSHはスムーズですが、大きなファイルを転送したり、SQLを大きくしたりすると、接続が理由もなく切断されます。
原因: 大手メーカーの基盤となるネットワークパッケージが異なるため、MTU(最大転送ユニット) が一致しない。AWSのデフォルトは9001 (ジャンボフレーム) または1500で、クラシックVPNのMTUは1420または1350でなければならない。
解法: 必ず両端の仮想マシンまたはルータでMSS Clamping(MSSクランプ) をオンにするか、インスタンスカードのMTUを手動で1420に下げる。
2.マルチクラウド相互接続のネットワークセグメントオーバーラップ
インターネットを計画する前に、死んで覚えなければならない
絶対にどこでも重複したローカルネットセグメントを使用しないでください。
AWSを10.0.0.0/16、Azureも10.0.0.0/16に設定するとあなたは徹底的に倒すしかない。メーカーと業務ラインによって厳密に区別するのが最善の方法です
AWS生産: 10.1.0.0/16
Azure生産: 10.2.0.0/16
GCP生産: 10.3.0.0/16
四、まとめ: 雲上ネットワークの「四大軍規」
あなたがどのクラウドを使っていても、優秀なネット設計者への道には四つの軍規があります
最小権限の原則: オン/32 (シングルIP) はオン/24 (ネットセグメント) 、オン/24はオンにしない。インバウンドは厳しく管理され、アウトバウンドは細かい: イントラネットコアデータベース、ミドルウェアのアウトネット権限を制限する。ハッカーがWeb脆弱性を通じてサーバーのWebシェルを入手したとしても、アウトバウンドが遮断されたため、トロイの木馬をダウンロードすることができず、データを外部に転送することができなかった (C2回連続失敗)。インフラすなわちコード (IaC): 10個以上の安全グループルールを使うと、人間の肉眼と記憶力は信頼できなくなる。TerraformまたはPulumiを使ってあなたのネットワークを管理し、毎回のセキュリティグループの変更を追跡し、コード化して審査できるようにします。システム層を忘れないでください。ネットワークが接続されていない場合、トラブルシューティングの順序は常に次のようになりますローカルサービスのリスニング状態-> osカーネルファイアウォール (iptables/ufw/windowsubaring) -> クラウド・ベンダー・セキュリティ・グループ-> クラウド・ベンダー・サブネットACL/ルート
表。
この6つの大手メーカーのネットワーク配置の基盤をコントロールすると、曇りの枠組みが進化した入場券を手に入れた。複雑な多国籍の海に出る業務に直面して、あなたも気をつけてキーボードの上で叩くことができます。
