腾讯云网络安全组
安全组
网络安全组可以用来限制服务器开放的端口,提高数据和服务的安全性
需要开放服务端口
80tcp用于http服务443tcp用于https服务22tcp用于服务器的ssh登录3306tcp开放mysql数据库给外部读取10007tcp用于git的ssh服务,经过腾讯云负载均衡,会转换成22端口供开发者使用1194udpopenvpn服务
说明:
- 内网服务器之间不限制端口。当前的安全组都是限制服务器的外网访问
- 不是所有服务器都需要开放如上的端口,应按不同服务分组,开放不同的端口
安全组划分
安全组一功能角色划分,将不同的服务器添加到对应的安全组
-
终端用户组。开放 80, 443
-
公司内部组。开放3306, 80
-
开发者组。开放10007
-
跳板机访问组。开放 80, 22, 1194(udp)
安全组实施过程
- 定义一个开放所有流量的临时安全组,添加所有服务器,防止线上出现问题
- 定义安全组,按现有服务部署情况把服务器加入安全组
- 调整服务部署,按功能划分
- 调整安全组配置
主机开放端口
| ~主机 | 内网域名 | 内网IP | 公网IP | 对外服务端口 | 主要的域名 |
|---|---|---|---|---|---|
| 测试机 | test.cluster.gm | 10.190.150.57 | 203.195.231.226 | 22,80,51116,53 | doc.guanmai.cn |
| 页面层1 | worker2.cluster.gm | 10.143.80.155 | 203.195.209.90 | 80,443 | manage.guanmai.cn, bshop.guanmai.cn, station.guanmai.cn |
| 页面层2 | worker3.cluster.gm | 10.221.77.79 | 203.195.206.152 | 80 | code.guanmai.cn |
| 逻辑层3 | worker4.cluster.gm | 10.190.146.14 | 80 | static.guanmai.cn, pic.xiaonongnv.com |
安全组配置
| ~组名 | 开放端口 | 主机 |
|---|---|---|
| 数据分析-待迁移 | 80,3306 | 10.251.164.84-119.29.15.166-worker1.cluster.gm |
| 跳板机访问组 | ALL | 10.190.150.57-203.195.231.226-test.cluster.gm |
| gitlab-待迁移 | 10007 | 10.104.146.123-119.29.89.98-db.alt.cluster.gm |
| 运营WEB | 80,443 | 10.104.146.123-119.29.89.98-db.alt.cluster.gm |
| 10.143.80.155-203.195.209.90-worker2.cluster.gm | ||
| 10.221.77.79-203.195.206.152-worker3.cluster.gm | ||
| 10.204.237.194-182.254.177.153-db.old.cluster.gm |