IP段划分规划建议:
在公有云场景下,各租户间网络相互独立,互不影响。比方A用户使用了192.168.1.0/24这个段的IP,B用户也可以用,低层通过vxlan技术举行封装隔离,极大的放任客户操作的自由性。用户可以根据企业自身IP规划情况来自界说云上主机使用IP段,但需要留意以下两点:
① 虽然目前公有云VPC已支持在创建后增长IP段,但已建子网IP段不可添加或更改,以是需要思量划分的IP段数量,是否可以满足将来项目组或子网下业务的使用(建议根据实际需求划分不要直接给一个大段,导致IP资源浪费)。
② 需要思量后期是否有云上与云下公司、机房互通的需求,云上IP段规划建议不要与自有机房、办公区网段冲突,这样后期如果想用混合云大概云上云下互访,可以走专线内部打通,不至于因IP冲突导致不可用。
③ 在私有云场景下,各VPC子网IP段往往已完成规划,无需使用方自行规划,因此也不需要思量IP冲突等问题,使用方只需要申请资源使用即可,对不是很相识云的使用人员更为友好。 访问控制设计建议:
建议根据实际业务流量情况合理利用虚拟防火墙和安全组功能,不建议为前期方便举行策略设置混用。
安全组绑定粒度到云主机,云主机建议按流量走向划分两个安全组举行绑定,一个作为东西向流量(内部通讯)访问控制使用,另一个安全组可以作为南北向流量(外部通讯)访问控制使用。这样的意义在于策略条目较多时便于快速查找与问题定位。
如某个策略需要对整个子网或多个子网收效时,选择虚拟防火墙(ACL)绑定一个或多个子网收效,以实现全局策略下发。
留意:在ACL放行后,还需在安全组放行相应策略,否则会因为流量先通过虚拟防火墙(ACL)导致被拦截。
部分云平台安全组为白名单机制,不支持拒绝策略。当有外部异常请求时,也可以设置虚拟防火墙(ACL)拒绝指定源IP的请求,将异常请求拦截在子网之外。
