[专有网络VPC]限制不同交换机下的ECS间的互通
本文为您介绍如何通过网络ACL功能限制不同交换机下ECS实例的互通。
前提条件
-
您已经创建了专有网络和交换机。
-
您已经在交换机中创建了ECS实例。
背景信息
某公司在云上创建了专有网络,在专有网络中创建了两个交换机,交换机1下创建了ECS1实例(192.168.1.206),交换机2下创建了ECS2实例(192.168.0.229)和ECS3实例(192.168.0.230)。因公司业务需要,要求ECS实例间、ECS与互联网间必须满足以下互通关系。
-
禁止ECS1实例、ECS2实例、ECS3实例与互联网互通。
-
禁止ECS1与ECS3互通。
-
允许ECS1与ECS2互通。
如上图,您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS流量的访问控制。
配置流程图如下:
步骤一:创建网络ACL
- 登录专有网络管理控制台。
- 在左侧导航栏,选择访问控制 > 网络ACL。
- 在顶部菜单栏,选择网络ACL的地域。
-
在网络ACL页面,单击创建网络ACL。
-
在创建网络ACL对话框中,根据以下信息配置网络ACL,然后单击确定。
-
所属专有网络:选择网络ACL所属的专有网络。
-
名称:输入网络ACL的名称。
-
描述:输入网络ACL的描述。
-
步骤二:绑定交换机
将交换机1和交换机2绑定至网络ACL。
- 登录专有网络管理控制台。
- 在左侧导航栏,选择访问控制 > 网络ACL。
- 在顶部菜单栏,选择网络ACL的地域。
- 在网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
-
在已绑定资源页签下,单击关联交换机。
-
在关联交换机对话框,选择交换机1和交换机2,然后单击确定关联。
步骤三:添加网络ACL规则
为网络ACL添加入方向规则和出方向规则。
- 登录专有网络管理控制台。
- 在左侧导航栏,选择访问控制 > 网络ACL。
- 在顶部菜单栏,选择网络ACL的地域。
-
在网络ACL页面,找到目标网络ACL,然后在操作列单击设置入方向规则。
-
在入方向规则页签下,单击管理入方向规则。
-
根据以下信息配置入方向规则,然后单击确定。
优先级
规则名称
策略
协议类型
源地址
目的端口范围
1
允许来自ECS2的流量
允许
ALL
192.168.0.229/32
-1/-1
2
允许来自ECS1的流量
允许
ALL
192.168.1.206/32
-1/-1
3
拒绝来自所有地址的流量
拒绝
ALL
0.0.0.0/0
-1/-1
-
单击出方向规则页签,然后单击管理出方向规则。
-
根据以下信息配置出方向规则,然后单击确定。
优先级
规则名称
策略
协议类型
目的地址
目的端口范围
1
允许去往ECS2的流量
允许
ALL
192.168.0.229/32
-1/-1
2
允许去往ECS1的流量
允许
ALL
192.168.1.206/32
-1/-1
3
拒绝去往所有地址的流量
拒绝
ALL
0.0.0.0/0
-1/-1
步骤四:测试连通性
测试ECS实例间、ECS实例与互联网间的连通性。
-
登录ECS1实例。具体操作,请参见ECS连接方式概述。
说明
当您无法远程连接ECS1时,请参见实例远程连接问题中的解决方案。
-
执行
ping命令分别pingECS2实例、ECS3实例、任意公网IP地址,验证通信是否正常。经验证,ECS1实例能访问ECS2实例,但不能访问ECS3实例和互联网。
图 1. ECS1实例能访问ECS2实例
图 2. ECS1实例不能访问ECS3实例
图 3. ECS1实例不能访问互联网
