本文以访问控制章节知识点为例,不说废话直接上干货!
考法1:VPC访问控制方式对比
1.VPC可以通过安全组、防火墙、RDS白名单、SLB白名单等方式进行访问控制。
2.专有网络内的ECS使用安全组防火墙进行三层网络访问控制,ACL进行二层网络控制。
考法2:网络ACL的功能特性
1.网络ACL规则仅过滤绑定的交换机中ECS实例的流量
2.网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则
3.网络ACL无任何规则时,会拒绝所有出入方向的访问。
4.网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量。
考法3:VPC内安全组配置
1.三个交换机下的云服务器ECS实例之间内网不能互访,需要三个安全组并且安全组中禁止访问的规则要高于允许访问的规则。
2.VPC内的云服务器ECS之间的访问控制通过【安全组】实现。
3.专有网络VPC里面的交换机支持部署在同一地域的不同可用区,专有网络VPC类型的实例可以加入同一专有网络下的安全组。
4.两台同一地域不同账号下的服务器,需要授权内网互通,只需要各自在自己的安全组入方向添加允许对方ECS的内网IP访问即可。
2.NAT网关
1.VPC网络下,可以通过公网IP、NAT网关、公网负载均衡(SLB)和ECS固定公网IP等方式连接公网。
考法1:NAT网关最佳实践
您可以通过为ECS实例绑定弹性网卡来解决ECS实例公网出口IP不统一的问题。
如图,您可以为绑定了EIP的ECS实例单独分配一块弹性网卡,并将EIP绑定到弹性网卡,这样来自互联网的访问流量会经过弹性网卡到达ECS实例,当ECS实例需要访问互联网时会通过NAT网关进行转发。
考法2:NAT特性
公网NAT网关是一款针对公网访问的企业级安全网关产品,具有高性能、自动弹性、灵活计费、精细化运维等特性
考法3:SANT功能
NAT网关提供SNAT功能,为VPC内无公网IP的ECS实例提供访问互联网的代理服务。如果VPC内某些ECS实例已经绑定了EIP,这些ECS实例会优先通过绑定的EIP访问互联网,而VPC内的其他ECS实例通过NAT网关的SNAT功能访问互联网,造成VPC内ECS实例的公网出口IP不一致,不利于统一管理业务。
考法4:综合网络方案规划
1.可以通过ECS固定公网IP、EIP、公网NAT网关、负载均衡将专有网络和公网打通;通过云企业网、VPN网关连接两个VPC;通过高速通道、VPN网关、云企业网、智能接入网关将本地IDC和云上专有网络打通。
文章篇幅有限,阿里云ACP云计算更多知识点或题库试题,可戳下方明~pian↓↓↓
