京东云服务器公网或内网访问的配置建议
使用场景
场景1:京东云服务器内网间互相访问场景描述
同一地域同一VPC下的京东云服务器可以通过安全组规则设置京东云服务器之间内网互访。
京东云服务器配置建议
相同地域相同VPC下的京东云服务器是否可以互访取决于所在安全组的规则配置,即使两台京东云服务器加入同一个安全组内,如果没由对应允许规则,也是无法互相访问的。
无论两台主机是否隶属于同一个安全组中,都需要配置两条入站规则,类型为ALL Traffic,源IP分别为两台主机的内网IP。
场景2:京东云服务器提供公网服务场景描述
绑定了公网IP的京东云服务器提供公网访问服务,也可以主动访问公网,同时需要允许管理员远程管理主机。
此时可以通过设置安全组规则保证只有特定的IP地址和端口才能与京东云服务器通信。
配置建议如果京东云服务器需要提供Web服务,需要开放https/https协议使用的80/443端口。
对于管理京东云服务器所必须的端口,如22端口和3389端口,我们推荐只对需要管理京东云服务器的IP开放访问权限。
如果管理京东云服务器的公网IP地址范围固定:在安全组设置只有的IP地址可以访问安全组的22端口和3389端口。
如果管理京东云服务器的公网IP地址范围不固定:可以允许指定IP网段的地址访问京东云服务器,具体IP段的范围请根据所在网络情况确认。
如需设置全部地址均可管理京东云服务器,请输入0.0.0.0/0(设置为全部地址均可管理会增大的安全组风险,请谨慎使用)协议类型目标端口源IP策略说明HTTP800.0.0.0/0接受允许从任何地方对Web服务器进行入站HTTP访问HTTPS4430.0.0.0/0接受允许从任何地方对Web服务器进行入站HTTPS访问SSH22的公网IP地址范围接受京东云服务器允许来自用户网络的SSH远程登录自定义TCP3389的公网IP地址范围接受京东云服务器允许来自用户网络的RDP远程登录的
公网IP地址可以通过如下方式获取:
通过IP库进行查询。如果通过IP查询出的IP地址存在偏差,可以将源IP范围先配置成0.0.0.0/0。使用当前的网络访问京东云服务器,并在京东云服务器上通过tcpdump获取源IP地址,之后将该源IP配置到安全组规则中。场景3:使用负载均衡提供公网服务场景描述
负载均衡是对多台京东云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。没有公网IP的京东云服务器京东云服务器可以通过公网负载均衡接受来自公网的访问,但不可以主动向公网发起访问。
配置建议安全组1为Internet提供Web服务,只对Internet开放https/https端口。安全组2为安全组1提供应用服务,对安全组1开放应用服务端口。
安全组1:
协议类型目标端口源IP策略说明HTTP800.0.0.0/0接受允许从任何地方对Web服务器进行入站HTTP访问HTTPS4430.0.0.0/0接受允许从任何地方对Web服务器进行入站HTTPS访问SSH22运维IP地址或网段接受京东云服务器允许来自运维安全组的入站SSH访问自定义TCP3389运维IP地址或网段接受京东云服务器允许来自用户网络的RDP远程登录ALL Traffic1-65535负载均衡系统网段接受允许SLB系统访问安全组1
安全组2:
协议类型目标端口源IP策略说明自定义TCP8080安全组1内京东云服务器的IP地址或网段接受允许安全组1访问安全组2的应用服务端口SSH22运维IP地址或网段接受京东云服务器允许来自运维安全组的入站SSH访问自定义TCP3389运维IP地址或网段接受京东云服务器允许来自用户网络的RDP远程登录ALL Traffic1-65535负载均衡系统网段接受允许SLB系统访问安全组2
发表评论