更新时间:2024-11-04
在接入云账号的前提下,云安全中心能够自动和手动的同步云上各种资产,资产同步完成后自动根据同步的资产绘制一次云上资产网络拓扑图。绘制的拓扑图分为两层,第一层以云划分展示云内每个账号的VPC以及VPC之间的关系、自定义区域以及自定义区域之间的关系、自定义区域和VPC之间的关系,存在可访问关系的有连线。第二层需要在第一层图选中某个VPC查看详情,展示的是该VPC与互联网、与其他VPC、与自定义区域、与未知区域的可访问关系以及VPC内各个资产之间的详细可访问关系。
拓扑总览一层图
以不同的云区分管理(如阿里云、腾讯云、阿里私有云等),每个云下默认展示已对接的云账号。
点击对应的云账号,展开会展示该云账号下的VPC,以及VPC之间、VPC和自定义区域、VPC到未知区域、VPC到互联网的可访问关系,有可访问关系的两个节点间有访问线,访问线的箭头方向代表节点访问方向。
鼠标移入某个VPC出现悬浮窗口展示VPC基本信息,点击查看详情跳转到VPC详情页(二层图)。
除云上资源,一层图还会展示用户添加的自定义区域,以及自定义区域的可访问关系(和VPC类似)。
单VPC二层图
展示单个VPC的访问关系详情,访问线均是有方向的,即存在单向和双向的访问线,具体展示以下三类关系:
互联网与子网内资产的可访问关系:
可通过EIP、NAT、LB、自定义网关、未知网关、VPN网关、专线网关七种路径访问子网内资产。
互联网可通过EIP(EIP前如有云防火墙防护会同步在拓扑图上进行展示)访问资产。
互联网可通过NAT(NAT前如有云防火墙防护或NAT后如有NAT防火墙防护会同步在拓扑图上进行展示)配置访问资产。
互联网可通过LB(LB前如有云防火墙防护会同步在拓扑图上进行展示)配置访问资产。
互联网可通过自定义网关配置访问资产。
当云上资产所在VPC通过未知网关连接到了互联网,网络可视会通过路由条目将该网关计算并展示出来。
当云上资产所在VPC关联到VPN网关,同时配置了自定义访问关系,会展示互联网通过VPN网关访问资产。
当云上资产所在VPC关联到专线网关,同时配置了自定义访问关系,会展示互联网通过专线网关访问资产。
其他VPC与本VPC的可访问关系:
其他VPC与本VPC之间存在对等连接,且路由配置正确,两个VPC的主机存在单向或双向的访问线。
其他VPC与本VPC之间通过专线网关或VPN网关,且路由配置正确(VPC存在目的地址为对端地址且下一跳为专线网关或VPN网关的路由),两个VPC的主机存在单向或双向的访问线。
其他VPC与本VPC之间通过云企业网,且路由配置正确(VPC存在目的地址为对端地址且下一跳为转发路由器),两个VPC的主机存在单向或双向的访问线。
本VPC内资产的可访问关系:
本VPC内资产的可访问关系又分为子网内和子网间的可访问关系。子网内资产之间存在单向或双向的可访问关系。
不同子网间的资产存在单向或双向的可访问关系,在子网展开的情况下,访问线直接连接到对应的资产上。
在子网未展开的情况下,访问线连接到子网上。