CloudDCN专用网络ACL概述
CloudDCN专用网络ACL
CloudDCN专用网络ACL是一个子网级别的可选安全防护层,您可以在CloudDCN专用网络ACL中设置入方向和出方向规则,并将CloudDCN专用网络ACL绑定至CloudDCN子网,可以精准控制出入CloudDCN子网的流量。
CloudDCN专用网络ACL规则
- CloudDCN专用网络ACL中包括入方向规则和出方向规则,用来控制CloudDCN子网入方向和出方向的网络流量。
- 入方向规则:控制外部请求访问CloudDCN子网内的实例,即流量流入CloudDCN子网。
- 出方向规则:控制CloudDCN子网内实例访问外部的请求,即流量流出CloudDCN子网。
- CloudDCN专用网络ACL规则由协议、源端口/目的端口、源地址/目的地址等组成,关键信息说明如下:
- 生效顺序:CloudDCN专用网络ACL规则按照生效顺序依次排列,序号越小,排序越靠前,表示流量优先匹配该规则。
- 状态:CloudDCN专用网络ACL规则有“启用”和“停用”状态。启用时,CloudDCN专用网络ACL规则生效,停用时,CloudDCN专用网络ACL规则不生效。
- 策略:支持允许或拒绝。当流量的协议、源端口/目的端口、源地址/目的地址成功匹配某个CloudDCN专用网络ACL规则后,会对流量执行规则对应的策略,允许或拒绝流量。
- 协议:匹配流量的网络协议类型,支持TCP、UDP、ICMP协议。
- 源地址/目的地址:匹配流量的源地址或者目的地址。
- 源端口范围/目的端口范围:匹配流量的源端口或者目的端口,取值范围为1~65535。
CloudDCN专用网络ACL及规则的工作原理
- CloudDCN专用网络ACL创建完成后,需要将CloudDCN专用网络ACL关联至目标CloudDCN子网,CloudDCN专用网络ACL规则才能控制出入该CloudDCN子网的流量。CloudDCN专用网络ACL可以同时关联多个CloudDCN子网,但一个CloudDCN子网只能关联一个CloudDCN专用网络ACL。
- CloudDCN专用网络ACL是无状态的。如果您从实例发送一个出站请求,且该CloudDCN专用网络ACL的出方向规则是放通的话,那么您还需要放通入方向规则,才会允许该出站请求的响应流量流入。同理,如果该CloudDCN专用网络ACL的入方向规则是放通的,那还需要放通出方向规则,才会允许该入站请求的响应流量流出。
- 在CloudDCN专用网络ACL中,存在如表1所示的默认规则。当CloudDCN专用网络ACL中没有其他允许流量出入的自定义规则时,则匹配默认规则,拒绝任何流量流入或流出CloudDCN子网。在您将CloudDCN专用网络ACL关联至目标CloudDCN子网时,请确保已添加自定义规则放通业务流量,或者CloudDCN子网内无实际业务,避免默认规则造成业务流量中断。
- CloudDCN专用网络ACL规则不会匹配筛选表2中的流量,即对应的流量被允许流入或者流出CloudDCN子网,不受CloudDCN专用网络ACL默认规则以及自定义规则限制。
表2 不受CloudDCN专用网络ACL规则限制的流量 方向
规则说明
入方向
放通当前CloudDCN子网内的流量,即允许同一个CloudDCN子网内实例互通。
放通目的地址为255.255.255.255/32的广播流量。
放通目的地址为224.0.0.0/24的组播流量。
出方向
放通当前CloudDCN子网内的流量,即允许同一个CloudDCN子网内实例互通。
放通目的地址为255.255.255.255/32的广播流量。
放通目的地址为224.0.0.0/24的组播流量。
放通基于TCP协议,目的地址为169.254.169.254/32 ,目的端口为80的云服器元数据(metadata)流量。
放通目的地址为100.125.0.0/16的流量,该网段是云上公共服务预留地址,比如DNS服务器地址、NTP服务器地址等。
流量匹配CloudDCN专用网络ACL规则的顺序
一个CloudDCN子网只能绑定一个CloudDCN专用网络ACL,当CloudDCN专用网络ACL存在多条规则时,流量按照规则的生效顺序进行匹配。序号越小,排序越靠前,越先执行该规则。默认CloudDCN专用网络ACL规则的序号为*,排在末尾,流量最后匹配该规则。
- 当流量匹配上自定义规则,则根据规则策略决定流量走向。
- 当策略为拒绝时,则拒绝该流量流入CloudDCN子网。
- 当策略为允许时,则允许该流量流入CloudDCN子网。
- 当流量未匹配上任何自定义规则,则执行默认规则,拒绝流量流入CloudDCN子网。
CloudDCN专用网络ACL配置流程
|
序号 |
步骤 |
说明 |
操作指导 |
|---|---|---|---|
|
1 |
创建CloudDCN专用网络ACL |
CloudDCN专用网络ACL创建完成后,自带入方向和出方向默认规则,拒绝出入CloudDCN子网的流量。 |
|
|
2 |
配置CloudDCN专用网络ACL规则 |
CloudDCN专用网络ACL默认规则不支持删除和修改,您需要根据业务需求添加自定义规则,用于控制流入或流出CloudDCN子网的流量,流量将会优先匹配自定义规则。 |
|
|
3 |
将CloudDCN子网关联至CloudDCN专用网络ACL |
您需要将CloudDCN子网关联至CloudDCN专用网络ACL,并且当CloudDCN专用网络ACL状态为“已开启”时,CloudDCN专用网络ACL规则会对出入CloudDCN子网的流量生效。 一个CloudDCN子网只能关联一个CloudDCN专用网络ACL。 |
CloudDCN专用网络ACL的使用限制
- 在一个区域内,单个用户默认最多可以创建5个CloudDCN专用网络ACL。
- 建议一个CloudDCN专用网络ACL单方向拥有的规则数量不要超过40条,否则会引起CloudDCN专用网络ACL性能下降。
