AWS | Azure | GCP dan versi antarabangsa Alibaba Cloud/Tencent Cloud/Huawei Cloud Kumpulan keselamatan enam vendor awan global dan tutorial tahap pengasuh konfigurasi rangkaian
Di alam semesta pengkomputeran awan, terdapat dua pepatah terkenal yang dibasahi air mata jurutera rangkaian yang tidak terkira banyaknya:
"Rangkaian tidak berfungsi, dan ada kemungkinan besar routing atau kumpulan keselamatan tidak dihidupkan."
"Rangkaian digodam, dan kebarangkalian yang tinggi adalah bahawa kumpulan keselamatan membuka 0.0.0.0/0."
Sebagai orang IT dengan perniagaan luar negara, seni bina multinasional atau penyebaran mendung, yang paling banyak ditangani setiap hari adalah konfigurasi rangkaian vendor awan utama. Ramai orang berpendapat bahawa bukan hanya "klik tetikus untuk membuka port"? Tetapi apabila anda benar-benar berada di bawah struktur mendung, anda akan mendapati bahawa logik bidang kuasa, istilah dan juga lubang setiap kilang besar sama sekali berbeza. Kumpulan keselamatan status AWS, keutamaan NSG Azure, VPC global GCP... Selagi perinciannya tidak difahami secara menyeluruh, rangkaian tidak dapat diperiksa hingga larut malam, dan pangkalan data inti langsung "telanjang" di rangkaian awam.
Artikel panjang inti keras hari ini, tanpa membincangkan teori PPT maya, secara langsung menghasilkan semula topologi rangkaian enam vendor awan arus perdana di luar negara (AWS, Azure, GCP, OCI, Alibaba Cloud International, Tencent Cloud International) yang paling lengkap di seluruh rangkaian. Panduan praktikal "Nanny Level" dengan firewall rangkaian (kumpulan keselamatan). Dianjurkan untuk mengumpulkan, ini adalah manual penyelesaian masalah rangkaian anda pada saat genting.
1. Penyajaran konsep teras: Jangan terpegun dengan kata-kata hitam dari pengeluar utama
Sebelum menaip papan kekunci secara rasmi, kita mesti menarik "kata-kata hitam (istilah)" dari enam pengeluar utama ke dimensi yang sama. Walaupun namanya pelik, logik yang mendasari tidak lebih dari tiga perkara:
Rangkaian peribadi (kedudukan pit), jadual penghala/penghalaan (tanda jalan), firewall (penjaga pintu)
。
Penyedia perkhidmatan awan
Rangkaian Persendirian (VPC/VNet)
Subnet (Subnet)
Firewall status (kumpulan/komponen keselamatan)
Firewall tahap subnet/rangkaian
AWS
VPC (peringkat serantau)
Subnet (peringkat daerah tersedia)
Security Group (Dengan status)
Rangkaian ACL (tanpa status)
Azure
VNet (peringkat serantau)
Subnet (subnet)
Kumpulan Keselamatan Rangkaian (NSG)
Gunakan juga NSG untuk mengikat subnet
GCP
VPC (Global/Global)
Subnet (peringkat serantau)
VPC Firewall Rules (Dengan status)
Kawalan portfolio akaun label/perkhidmatan
Oracle (OCI)
VCN (peringkat serantau)
Subnet (Kawasan/Kawasan Tersedia)
Senarai Keselamatan/NSG
Senarai Keselamatan (Peringkat Komponen)
Alibaba Cloud Antarabangsa
VPC (peringkat serantau)
VSwitch (peringkat daerah tersedia)
Kumpulan Keselamatan
Rangkaian ACL (Rangkaian ACL)
Tencent Cloud Antarabangsa
VPC (peringkat wilayah)
Subnet (peringkat daerah tersedia)
Kumpulan Keselamatan (Security Group)
Rangkaian ACL (Rangkaian ACL)
Logik asas teras: Keadaan vs Tanpa Status
Ini adalah tempat paling mudah bagi pendatang baru untuk tersandung:
Status (Peraturan Kumpulan Keselamatan/Firewall): Apabila anda masuk, saya akan membiarkan anda keluar secara lalai. Sebagai contoh, jika anda membenarkan akses port 80 luaran, apabila pelayan bertindak balas terhadap pengembalian port 80, tidak perlu membuka port tinggi rawak tambahan dalam peraturan keluar.
Tanpa status (ACL rangkaian/beberapa laluan tertentu): Masuk dan keluar berbeza, masing-masing mengikut cara mereka sendiri. Anda membuka port pit stop 80. Sekiranya peraturan keluar tidak membuka port sementara 1024-65535, lalu lintas masih mati di tengah jalan.
2. Penjelasan terperinci mengenai enam pengeluar utama di luar negara: panduan praktikal dan mengelakkan lubang
1. AWS (Perkhidmatan Web Amazon): "pertahanan berganda" Big Brother
Reka bentuk rangkaian AWS sangat klasik, dan juga merupakan objek peniruan oleh pengeluar mendung. Pemikiran utamanya ialah:
VPC peringkat wilayah dibahagikan kepada subnet zon ketersediaan yang berbeza (AZ), dan kemudian NACL tanpa status digunakan untuk menjaga pintu subnet, dan akhirnya kumpulan keselamatan status (kumpulan keselamatan) digunakan untuk menjaga pintu contoh.
🛠️ Laluan konfigurasi emas:
Buat VPC tersuai: Jangan gunakan Default VPC dan rancang segmen rangkaian anda sendiri (contohnya, 10.0.0.0/16).
Subnet segmentasi: sekurang-kurangnya dibahagikan kepada Public Subnet (dihubungkan dengan Internet Gateway, dengan routing rangkaian awam) dan Private Subnet (tidak ada routing rangkaian awam, hanya keluar melalui NAT Gateway).
Konfigurasi kumpulan keselamatan: Inbound: tepat dan terbuka. Sebagai contoh, pelayan web hanya membuka 80 dan 443, dan alamat sumber ditetapkan ke 0.0.0.0/0 atau ID kumpulan keselamatan ALB (load balancing). Outbound (Outbound): Lalai adalah 0.0.0.0/0. Semua dibenarkan. Sekiranya pematuhan ketat, ia perlu dibatasi ke segmen rangkaian peribadi tertentu.
⚠️ AWS mengelakkan darah dan air mata:
Petikan kumpulan keselamatan: Jangan selalu menulis alamat IP dengan bodoh! Ciri terkuat kumpulan keselamatan AWS ialah "alamat sumber boleh mengisi ID kumpulan keselamatan yang lain." Ini bermaksud bahawa anda boleh menetapkan "hanya kumpulan keselamatan belakang B yang dibenarkan untuk menerima lalu lintas dari kumpulan keselamatan depan A", tidak kira bagaimana EC2 depan dapat diperluas secara fleksibel dan bagaimana IP berubah, logik rangkaian tetap kukuh.
Peraturan lalai NACL: Lalai untuk menyesuaikan NACL adalah Deny All. Sekiranya anda membina NACL tersuai
Terlupa untuk menambahkan peraturan, seluruh subnet langsung menjadi pulau jaringan.
2. Microsoft Azure: "Ketua pasukan keselamatan" yang mengutamakan
Microsoft Azure memanggil rangkaian peribadi
VNet
。 Logik kawalan keselamatan Azure pada asasnya berbeza dengan AWS:
NSG(Network Security Group)
Ia boleh diikat pada kad rangkaian (NIC) dan subnet (Subnet). Selain itu, Azure memperkenalkan konsep keutamaan (Priority,100-4096).
🛠️ Laluan konfigurasi emas:
Buat VNet dan Subnet:Azure's Subnet tidak mengikat zon yang tersedia, ia adalah wilayah, yang menjadikan penggunaan yang sangat tersedia lebih fleksibel.
Konfigurasi peraturan NSG: Semakin kecil nombor peraturan, semakin tinggi keutamaan. Inbound: Benarkan pentadbir mengakses 22/3389 dari IP tertentu, keutamaan ditetapkan ke 100; HTTP/HTTPS dibenarkan, keutamaan ditetapkan ke 200; selebihnya adalah lalai.
⚠️ Sejarah Azure untuk mengelakkan darah dan air mata:
Tiga peraturan tersembunyi lalai: Bahagian bawah NSG Azure dilengkapi dengan tiga peraturan lalai (anda tidak dapat menghapusnya, anda hanya boleh menutupnya dengan keutamaan yang lebih tinggi):AllowVnetInBound: Semua subnet dalaman VNet boleh beroperasi secara lalai! AllowAzure LoadBalancerInBound: Benarkan siasatan Azure. DenyAllInBound: Menyekat semua yang lain. Banyak pemula berpendapat bahawa mereka diasingkan setelah membahagikan subnet yang berlainan, dan mendapati bahawa persekitaran pembangunan secara langsung menyentuh pangkalan data persekitaran pengeluaran kerana tidak ada peraturan Deny keutamaan tinggi yang jelas untuk menyekat komunikasi subnet silang.
3. GCP (Platform Google Cloud): "Rangkaian Global" dan "Tag Master" yang melanggar akal sehat
Senibina rangkaian Google Cloud (GCP) adalah yang paling maverick di enam kilang utama.
VPC adalah Global (global) dan bukan milik wilayah tertentu (Wilayah).
Selagi anda berada dalam VPC, subnet di seluruh dunia boleh beroperasi secara lalai melalui tulang belakang intranet Google.
Lebih-lebih lagi, GCP
Tidak ada kumpulan keselamatan yang mengikat kad rangkaian atau subnet dalam pengertian tradisional
。 Ia menggunakan
Firewall Rules (Firewall Rules) tag rangkaian (Network Tag) atau akaun perkhidmatan (Service Accounts)
。
🛠️ Laluan konfigurasi emas:
Tentukan tag rangkaian: Contohnya, tandakan mesin maya anda http-server atau backend-db.
Tulis peraturan firewall: buat peraturan: "Benarkan lalu lintas masuk, port sasaran 80,443". Sasaran (Targ
Et): Pilih "tag rangkaian yang ditentukan (tag rangkaian yang ditentukan)" dan isikan http-server. Sumber: Isi 0.0.0.0/0.
⚠️ Sejarah mengelakkan darah dan air mata GCP:
Kesalahan ejaan label: Label adalah rentetan teks biasa. Sekiranya anda melabelkan pada mesin maya sebagai pelayan web, tetapi berjabat tangan dalam peraturan firewall dan memukul web_pelayan (garis bawah menjadi tanda hubung), Google tidak mempunyai arahan pembetulan ralat, dan perkhidmatan anda akan hilang selamanya di rangkaian awam.
Penolakan lalai vs yang dibenarkan secara lalai: GCP membuat beberapa peraturan default-allow-internal secara lalai. Sekiranya anda menggunakan rangkaian lalai, mesin di semua wilayah di dunia dapat berkomunikasi antara satu sama lain secara lalai. Ingatlah untuk menyelaraskan peraturan ini dalam persekitaran pengeluaran.
4. OCI (Oracle Cloud Infrastructure): "Penolakan lalai" yang ketat
Oracle Cloud (OCI) telah muncul dalam beberapa tahun kebelakangan ini kerana pelbagai pakej percuma yang menjimatkan dan perkakasan yang kuat. Rangkaian OCI dipanggil
VCN(Virtual Cloud Network)
。 Logik keselamatannya menggabungkan ciri-ciri AWS dan Azure, dengan
Senarai Keselamatan (Senarai keselamatan, tahap subnet)
Dan
Network Security Group(NSG, tahap kad rangkaian)
。
🛠️ Laluan konfigurasi emas:
Buat VCN: Disarankan untuk menggunakan "VCN Wizard", yang secara automatik akan membantu anda melengkapkan Internet Gateway, NAT Gateway, dan jadual penghalaan, menghilangkan rasa sakit hubungan manual.
Gunakan NSG dan bukannya Senarai Keselamatan: Pegawai OCI pada masa ini mengesyorkan NSG, kerana senarai keselamatan digunakan untuk keseluruhan subnet, dan butiran terlalu tebal.
Tambahkan peraturan kemasukan: Antara muka peraturan OCI sangat intuitif, pilih Stateless (tidak berstatus) atau mempunyai status, tentukan protokol dan port TCP.
⚠️ Sejarah OCI untuk mengelakkan darah dan air mata:
Tiebian Jiangshan, lalai penuh: Ketegasan awal OCI adalah yang tertinggi di antara semua pengeluar awan utama. Walaupun anda memperuntukkan IP rangkaian awam semasa membuat mesin maya, dan menghidupkan NSG maksimum di konsol (0.0.0.0/0 membolehkan semua), anda masih tidak dapat menyambung ke mesin dengan kebarangkalian yang tinggi.
Firewall dalaman sistem (Ubuntu/Oracle Linux): Ini adalah lubang gergasi OCI yang paling terkenal! Imej rasminya (iptables atau ufw sistem operasi) menyekat semua lalu lintas masuk secara lalai. Anda mesti memasukkan SSH (jika anda boleh), atau membersihkan iptables dalam skrip permulaan (Cloud-sekarang)
Perintah, lalu lintas di luar benar-benar dapat masuk.
5. Alibaba Cloud International (Alibaba Cloud International): Pengumpulan lalu lintas yang cekap dan serentak tinggi
Reka Bentuk Rangkaian (VPC) dan Kumpulan Keselamatan Alibaba Cloud International secara logiknya sangat mirip dengan AWS, tetapi mereka telah melakukan banyak penyetempatan dan pengoptimuman kebiasaan pemaju Asia dari segi kerumitan pengurusan. Komponen keselamatannya adalah
Kumpulan keselamatan biasa
Dan
Kumpulan keselamatan perusahaan
。
🛠Jalur pelarasan emas:
Buat VPC dan suis rangkaian proprietari (VSwitch): Perhatikan bahawa subnet Alibaba Cloud disebut VSwitch.
Pilih jenis kumpulan keselamatan: Kumpulan keselamatan biasa: Contoh dalam kumpulan boleh beroperasi secara lalai, dan terdapat lebih banyak contoh sokongan untuk satu kumpulan. Kumpulan keselamatan peringkat perusahaan: Contoh dalam kumpulan diasingkan secara lalai, yang sangat selamat dan sesuai untuk persekitaran pengeluaran seperti kewangan dan e-dagang.
Kebenaran peraturan: menyokong "akses segmen alamat" dan "lawatan bersama kumpulan keselamatan".
⚠IriAlibaba Cloud International Edition mengelakkan darah dan air mata:
ICMP(Ping) gagal secara lalai: Setelah pemula menyelesaikan contoh ECS, mereka biasanya mengklik IP rangkaian awam Ping tempatan, dan mendapati bahawa ia tidak berfungsi dan menganggap rangkaian itu tergantung. Sebenarnya, peraturan kumpulan keselamatan lalai Alibaba Cloud International sering tidak melepaskan protokol ICMP. Pergi ke kumpulan keselamatan dan tambahkan "jenis protokol: ICMP" untuk menyelesaikannya.
Memintas arah keluar: Alibaba Cloud telah melarang beberapa port tertentu (seperti 25 port yang biasa digunakan dalam e-mel) di bahagian bawah rangkaian. Sekiranya anda ingin membina pelayan mel yang dibina sendiri di awan, anda mesti menghantar pesanan kerja untuk memohon penyekat secara berasingan. Tidak ada gunanya membukanya dalam kumpulan keselamatan.
6. Tencent Cloud International (Tencent Cloud International): pengurusan minimalis dan halus
Senibina rangkaian Tencent Cloud International (Tencent Cloud) juga berdasarkan VPC. Reka bentuk kumpulan keselamatannya sangat menekankan "kebolehbacaan"
Dan
"Templat". Anda boleh membuat beberapa templat kumpulan keselamatan standard (seperti "Templat Pelayan Web Sejagat", "Pangkalan data hanya membenarkan templat intranet"), dan kemudian mengikatnya ke contoh yang berbeza dengan satu klik.
🛠Jalur pelarasan emas:
Buat VPC dengan subnet.
Gunakan persatuan contoh kumpulan keselamatan: Tencent Cloud menyokong kad rangkaian untuk mengikat beberapa kumpulan keselamatan.
Urutan peraturan yang berkesan: Dari atas ke bawah, setelah pencocokan berjaya, tidak ada lagi pencocokan ke bawah (serupa dengan logik Azure dan firewall tradisional, yang berbeza dengan gabungan semua peraturan AWS).
⚠ITencent Cloud International Edition mengelakkan darah dan air mata:
"Kesan liputan" apabila beberapa kumpulan keselamatan ditumpangkan: Kerana contoh CVM Tencent Cloud dapat mengikat beberapa kumpulan keselamatan, dan peraturannya adalah untuk memadankan secara berurutan dan ada titik penolakan/izin dalam satu kumpulan. Sekiranya anda secara tidak sengaja memindahkan kumpulan keselamatan dengan "Deny All" ke bahagian atas, semua peraturan "Allow" yang dikonfigurasi dengan teliti di bawah akan menjadi tidak sah serta merta.
Tiga, tahap tinggi
Penghindaran struktur: masalah umum dan penyelesaian konfigurasi rangkaian mendung
Apabila anda menjadi arkitek dan perlu menjadualkan vendor yang disebutkan di atas dalam satu projek pada masa yang sama, cabaran sebenarnya baru sahaja bermula.
1. Sambungan "MTU Cliff" merentasi awan
Apabila anda menggunakan VPN atau talian khusus untuk menghubungkan AWS VPC dan Azure VNet, anda sering menghadapi fenomena pelik:
Ping dan SSH dengan lalu lintas kecil sangat lancar, tetapi sebaik sahaja anda memindahkan fail besar atau menjalankan SQL yang besar, sambungan akan terputus tanpa sebab (Timeout).
Sebab: Pakej rangkaian yang mendasari pengeluar utama berbeza, mengakibatkan MTU (unit penghantaran maksimum) tidak konsisten. AWS mungkin 9001 (bingkai gergasi) atau 1500 secara lalai, manakala MTU VPN klasik mestilah 1420 atau 1350.
Penyelesaian: Pastikan menghidupkan MSS Clamping(MSS Clamping) pada mesin maya atau penghala di kedua hujungnya, atau secara manual menurunkan MTU kad rangkaian contoh ke 1420.
2. Segmen rangkaian yang saling berkaitan mendung bertindih (Overlap)
Pada awal perancangan rangkaian, anda mesti ingat:
Jangan sekali-kali menggunakan segmen rangkaian tempatan yang berulang di mana-mana sahaja.
Sekiranya anda menetapkan AWS ke 10.0.0.0/16 dan Azure ke 10.0.0.0/16, apabila pengembangan perniagaan perlu melalui VPC Peering/Transit Gateway (VPC Peering/Transit Gateway), anda hanya dapat menggulingkan sepenuhnya. Cara terbaik adalah dengan membahagikan pengeluar dan barisan perniagaan dengan ketat:
Pengeluaran AWS: 10.1.0.0/16
Pengeluaran Azure: 10.2.0.0/16
Pengeluaran GCP: 10.3.0.0/16
4. Ringkasan: "Empat Peraturan Ketenteraan" Internet di Awan
Tidak kira awan mana yang anda gunakan, terdapat empat peraturan ketenteraan umum di jalan menuju arkitek rangkaian yang sangat baik:
Prinsip kebenaran minimum: boleh membuka/32 (IP tunggal) tidak pernah membuka/24 (segmen rangkaian), boleh membuka/24 tidak pernah membuka 0.0.0.0/0. Pengurusan kemasukan dan keluar yang ketat: hadkan kebenaran keluar dari pangkalan data teras dan perisian tengah intranet. Walaupun penggodam memperoleh shell web pelayan melalui kerentanan Web, dia tidak dapat memuat turun Trojan kerana gangguan keluar, apalagi menyebarkan data (C2 gagal disambungkan). Gunakan infrastruktur sebagai kod (IaC): Apabila terdapat lebih dari 10 peraturan kumpulan keselamatan, mata dan ingatan manusia tidak lagi boleh dipercayai. Gunakan Terraform atau Pulumi untuk menguruskan rangkaian anda, sehingga setiap perubahan kumpulan keselamatan dapat dikesan dan dikodkan. Jangan lupa lapisan sistem: Apabila rangkaian tidak berfungsi, urutan pemeriksaan selalu: status pemantauan perkhidmatan tempatan-> firewall kernel sistem operasi (iptables/ufw/Windows Firewall) -> kumpulan keselamatan vendor awan-> subnet vendor awan ACL/routing
Jadual.
Dengan mengawal asas konfigurasi rangkaian dari enam pengeluar utama ini, anda akan mendapat tiket ke Evolusi Senibina Mendung. Dalam menghadapi perniagaan luar negara yang kompleks, anda juga boleh menaip papan kekunci dengan tenang: Sambungan Terhebat.