目录

传统的安全访问控制策略

传统的的防火墙策略是针对单一 IP 地址，或 Subnet 进行配置的。在任何规模的数据中心中，都会导致防火墙规则的激增。并且这些规则在创建后难以管理，在故障排除时难以理解。这是因为 Host 或 VM 的 IP 地址与具体的 Application 并无关联。

如下图所示，假设我们预期通过安全访问控制规则的方式，只允许 Apache 可以访问 J2EE，且只允许 J2EE 访问 Oracle，以此达到安全的访问效果。

在传统的方式下，我们需要逐一针对 Apache、J2EE、Oracle 的 IP 地址或 Subnet 下发 ACL 规则；但在多云场景中，IP 粒度的管理方式，显然是困难的，这意味着管理员必须知道每个 VM 的 IP 地址和 Application 之间的对应关系，并且每次部署新实例时，都必须编写新的 ACL 规则。

基于 Tags（标签）的安全访问控制

文章来源: is-cloud.blog.csdn.net，作者：范桂飓，版权归原作者所有，如需转载，请联系作者。

原文链接：is-cloud.blog.csdn.net/article/details/121808052