限制不同交换机下的ECS间的互通_最佳实践_网络ACL_专有网络 VPC-阿里云-知识中心-阿里云服务-米姆科技官方网站

本文为您介绍如何通过网络ACL功能限制不同交换机下的ECS的互通关系。

前提条件

操作前，请确保满足以下条件。

某公司在云上创建了VPC，在VPC中创建了两个交换机，交换机1下创建了ECS1实例（192.168.1.206），交换机2下创建了ECS2实例（192.168.0.229）和ECS3实例（192.168.0.230）。因公司业务需要，要求ECS实例间、ECS与互联网间必须满足以下互通关系。

如上图，您可以通过自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对交换机中ECS的流量的访问控制。

配置流程图如下：网络ACL使用流程

完成以下操作，创建网络ACL。

登录专有网络管理控制台。
在左侧导航栏，单击网络ACL。
在顶部状态栏处，选择网络ACL的地域。

说明目前，仅华北1（青岛）、华北2（北京）、华北5（呼和浩特）、西南1（成都）、华东1（杭州）、华东2（上海）、华南1（深圳）、华南2（河源）、中国香港、英国（伦敦）、美国（硅谷）、新加坡、德国（法兰克福）、印度（孟买）地域支持网络ACL功能。
在网络ACL页面，单击创建网络ACL。
在创建网络ACL对话框中，根据以下信息配置网络ACL，然后单击确定。
- 专有网络：选择网络ACL所属的专有网络。
- 名称：输入网络ACL的名称。
- 描述：输入网络ACL的描述。

完成以下操作，将交换机1、交换机2绑定到网络ACL。

完成以下操作，为网络ACL添加入方向规则和出方向规则。

在创建入方向规则对话框，根据以下信息配置入方向规则，然后单击确定。


名称	生效顺序	策略	协议类型	源地址	目的端口范围
允许来自ECS2的流量	1	允许	all	192.168.0.229/32	-1/-1
允许来自ECS1的流量	2	允许	all	192.168.1.206/32	-1/-1
拒绝来自所有地址的流量	3	拒绝	all	0.0.0.0/0	-1/-1

在创建出方向规则对话框，根据以下信息配置出方向规则，然后单击确定。


名称	生效顺序	策略	协议类型	目的地址	目的端口范围
允许去往ECS2的流量	1	允许	all	192.168.0.229/32	-1/-1
允许去往ECS1的流量	2	允许	all	192.168.1.206/32	-1/-1
拒绝去往所有地址的流量	3	拒绝	all	0.0.0.0/0	-1/-1

完成以下操作，测试ECS间、ECS与互联网间的连通性。