目录
传统的安全访问控制策略
传统的的防火墙策略是针对单一 IP 地址,或 Subnet 进行配置的。在任何规模的数据中心中,都会导致防火墙规则的激增。并且这些规则在创建后难以管理,在故障排除时难以理解。这是因为 Host 或 VM 的 IP 地址与具体的 Application 并无关联。
如下图所示,假设我们预期通过安全访问控制规则的方式,只允许 Apache 可以访问 J2EE,且只允许 J2EE 访问 Oracle,以此达到安全的访问效果。
在传统的方式下,我们需要逐一针对 Apache、J2EE、Oracle 的 IP 地址或 Subnet 下发 ACL 规则;但在多云场景中,IP 粒度的管理方式,显然是困难的,这意味着管理员必须知道每个 VM 的 IP 地址和 Application 之间的对应关系,并且每次部署新实例时,都必须编写新的 ACL 规则。
