阿里服务器安全

最近我们要把阿里云上面的数据库搞成没有外网IP，只有内网IP的，这样我们的数据就比现在安全了。提交了工单后，阿里客服给我们的反馈就是配置安全组来实现外网IP不可以访问。之前没有接触过安全组，研究了一下发现通过配置可以禁止一台机器访问内外网，也可以禁止其他机器通过内外网访问本机，觉得这个太好用了，马上配置了一下，将所有的机器分成两个组，数据库一个组，其他机器一个组，数据库这个组只可以另一个组的机器通过内网访问，另一个组可以通过外网访问，但是内网访问只能由数据库组去做。这样配置好后，基本的数据安全就有了。

进一步考虑，我们的应用服务器可以通过外网访问，也不安全，未来可以设计成三个组，nginx一个组，应用服务器一个组，数据库一个组。各组之间仅可以通过内网访问，并且其他的内网不可以访问。nginx组包含nginx服务器和测试服务器，权限是可以通过外网访问，应用服务器组不可以由外网访问，但是可以访问外网，主要是为了解决我们微信登录和支付的时候需要访问其他的外网的需求。数据库组没有任何外网可以访问，也不可以访问其他的外网。测试环境之所以要和nginx部署在可以被外网访问的组里面，主要是为了把svn部署在机器上面，方便平时的代码拉取和推送，同时也方便其他机器部署代码，同时还可以通过测试环境将其他的机器上面的日志导出到本地，通过测试环境ssh跳板到其他的机器上面。通过这样的配置，我们所有正式环境的的机器全部都走内网了，外网访问不了。平时导日志，数据库备份，登录其他机器什么的都走测试环境。除非是我们的工作人员，其他人想要渗透，只能先攻破我们的nginx了。测试环境中，svn服务器单独用一个用户，除了root用户，其他的用户没有访问他的文件夹的权限，保证代码安全。