背景描述
安全组默认是有状态的,我们在一些场景可以使用无状态安全组,本实践方案通过配置无状态安全组完成云主机A和云主机B互相SSH。
说明:无状态安全组的典型使用场景包括
- 无状态安全组性能比有状态性能好,在裸金属场景下,如果对网络性能有要求,考虑使用无状态安全组。
- 在LVS负载均衡的DR模式下,云主机的虚拟网卡需要使用无状态安全组。
操作步骤
创建无状态安全组。
在云平台的顶部导航栏中,依次选择[产品与服务]-[访问控制]-[安全组],进入“安全组列表”页面。
单击
创建安全组,弹出“创建安全组”对话框。选择状态为
否,配置完参数后,单击创建,完成操作。
| 参数 | 说明 |
|---|---|
| 名称 | 安全组的名称。 |
| 描述 | 安全组的描述。 |
| 状态 | 安全组是否带状态。 |
说明:创建完无状态安全组后,默认会创建一条入方向放行metadata流量的规则,以及出方向放行
0.0.0.0/0的规则。除非入向全部放开,无状态安全组无法做到云主机访问任意公网,因为回复包无法添加入向的具体规则,包括源IP,目的端口都无法确定。
| 方向 | 类型 | 协议和端口 | 源地址 |
|---|---|---|---|
| 入方向 | ipv4 | TCP:全部 | 169.254.169.254/32 |
| 出方向 | ipv4 | 全部 | 0.0.0.0/0 |
| 出方向 | ipv6 | 全部 | ::/0 |
配置安全组出入方向规则。
在安全组列表,点击上述安全组的
配置规则,进入安全组详情页面的规则列表。添加如下规则,单击
确认,完成操作。方向 类型 协议和端口 源地址 入方向 ipv4 TCP:全部 10.0.0.0/24
说明:由于无状态安全组规则是无状态的,所以配置了一个方向的允许策略,需要配置回复方向的允许策略,以达到流量放行的需求。
虚拟网卡关联安全组。
进入虚拟网卡列表,选择云主机A和云主机B的虚拟网卡,点击页面上方
更多-编辑安全组,弹出“编辑安全组”对话框。选择上述安全组,点击
保存。
结果验证
进入云主机A,能正常SSH访问云主机B;进入云主机B,能正常SSH访问云主机A。
