公有云-安全组规范

本文主要用于指导运维同事调整公有云安全组之用。

[TOC]

网络规划

基于安全及成本考虑，我司既有自建的虚拟化平台，又购买了华为云服务

环境	作用	部署区域	备注
生产环境	用于产品对外服务	华为云-金融区	公有云
UAT环境	用于UED、产品功能验收、线上预校验	华为云-非金融区	公有云
测试环境	用于研发提测后、功能测试	上海-25F机房	自建的虚拟化平台
开发环境	用于研发功能开发	上海-25F机房	自建的虚拟化平台

网段规划

序号	区域	网段/ip	描述
1	上海-25F机房	10.30.0.0/16	上海-25F机房-内网
2	上海-办公区内网	10.30.0.0/16	上海办公区-内网
3	北京-办公区内网	10.31.0.0/16	北京办公区-内网
4	上海-出口ip	103.25.65.102	上海机房-公网固定出口
5	上海-出口ip	58.34.236.122	上海办公室-公网固定出口
6	北京-出口ip	119.57.73.34	北京办公-公网固定出口
7	华为云-金融区	192.168.200.0/22	华为云-覆盖了200,201,202网段
8	华为云-非金融区	192.168.220.0/22	华为云-覆盖了220,221,222网段

带宽限制

华为云的金融区与非金融区，网络本来是不通的，但是公司有专线，互通线路相当于金融区 -> 公司 -> 非金融区，带宽受限于专线，仅 10 Mbps
目前阿里云所剩资源不多，待云迁移完成之后，会退掉阿里云的所有资源

环境	来源地址	目标地址	带宽大小	备注
阿里云	公司机房/办公内网	阿里云-内网	10 Mbps	单向专线
阿里云	公网	阿里云-公网	20 Mbps	共享弹性带宽
华为云	公司机房/办公内网	华为云-金融区内网	10 Mbps	单向专线,VPN到上海机房后访问华为
	公司机房/办公内网	华为云-非金融区内网	10 Mbps	单向专线,VPN到上海机房后访问华为
	公网	华为云-金融区公网	20 Mbps
	公网	华为云-非金融区公网	20 Mbps
	华为云-金融区内网	华为云-非金融区内网	10 Mbps	涉及2条专线：金融区->机房->非金融区

安全组使用规范

关于安全组的规范，仅涉及公有云（包括金融区、非金融区），不包含自建机房的防火墙策略
其中 db数据库类型，包括：RDS、mongodb、redis 等

安全组分类	分组名称	分组描述	备注
idc机房访问	abc_idc	用于限制开发测试服务器对华为云服务的访问	-
办公区访问	abc_office	用于限制办公区员工对华为云服务的访问	-
华为云-db-prd环境	abc_prd_db	用于限制对华为云prd环境数据库的访问	-
华为云-db-uat环境	abc_uat_db	用于限制对华为云uat环境数据库的访问	-
华为云-app-prd环境	abc_prd_app	用于限制对华为云prd环境应用服务的访问	-
华为云-app-uat环境	abc_uat_app	用于限制对华为云uat环境应用服务的访问	-

安全组示例

以下以安全组 abc_prd_db 为例，介绍安全组的配置策略，以供参考：

优先级	协议端口	源网段/ip	描述	备注
66	ICMP : 全部	0.0.0.0/0	允许ping	-
66	TCP : 3306	192.168.100.0/22	华为云-金融区内网互通	-
66	TCP : 3306	10.30.20.0/22	上海25F机房-内网直连华为云	允许机房网段服务器访问华为云
66	TCP : ALL	10.30.4.168	自建机房vpn内网	-
66	TCP : 3306	58.34.236.122	上海办公-公网固定出口	原则上不允许办公区直连生产数据库
66	TCP : 3306	119.57.73.34	北京办公-公网固定出口	原则上不允许办公区直连生产数据库

results matching ""

No results matching ""