安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置安全组规则,允许或禁止安全组内的 ECS 实例对公网或私网的访问。
概述
安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个 ECS 实例至少属于一个安全组,在创建的时就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。
更多关于安全组的介绍,参见 安全组。
导入与添加安全组
您可以通过添加或导入安全组将安全组与工作空间绑定,绑定后该安全组内的所有资源自动属于该工作空间。
前提条件
如果您要创建专有网络 VPC 类型安全组,请确认您已经有可用的专有网络 VPC 和虚拟交换机。更多详情,请参见 创建专有网络。
导入安全组
进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组。
单击 导入。
在弹出的对话框中,勾选要导入的安全组,单击 确定。
说明一个安全组只能属于一个工作空间。弹出框中列出了该租户下所有的安全组列表,已经属于某个工作空间的安全组将不能勾选和导入。 VPC 网络下,只能导入同一工作空间中创建的安全组,不同工作空间中的安全组无法导入。
添加安全组
进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组。
单击 添加。
在弹出的 添加安全组 对话框中,按页面提示要求输入 名称 与 描述(可选),单击 确定。
编辑安全组
创建完安全组后,您可以编辑安全组的名称和描述。
操作步骤
进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组。
找到目标安全组,单击右侧 操作 栏中的 编辑。
安全组的名称和描述进入可修改状态,修改后单击 保存。
删除与移出安全组
若您的业务已经不再需要一个或多个安全组,您可以删除或移出安全组。
前提条件
待删除或移出的安全组内不存在 ECS 实例。如果安全组内有 ECS 实例,您需要将实例移出安全组。
删除安全组
进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组。
找到要删除的安全组,单击右侧 操作 栏中的 删除。在弹出框中单击 确定。
安全组删除后,组内所有安全组规则同时被删除。
移出安全组
进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组。
找到要删除的安全组,单击右侧 操作 栏中的 移出。在弹出框中单击 确定。
移出的安全组不会被删除,还可以通过导入的方式加入到工作空间中。
添加安全组规则
您可以通过添加安全组规则,允许或禁止安全组内的 ECS 实例对公网或私网的访问。
前提条件
已创建安全组。
操作步骤
进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组。
找到目标的安全组,单击右侧 操作 栏中的 规则管理。
单击 添加,在弹出对话框中进行规则配置后,单击 确定。
网卡类型:VPC 网络下的安全组,仅支持 内网 网卡,经典网络下的安全组,可以设置 内网 或 公网 网卡。
规则方向:
出方向:是指 ECS 实例访问内网中其他 ECS 实例或者公网上的资源。
入方向:是指内网中的其他 ECS 实例或公网上的资源访问 ECS 实例。
授权策略:
允许:放行该端口相应的访问请求。
拒绝:直接丢弃数据包,不会返回任何回应信息。如果两个安全组规则其他都相同只有授权策略不同,则拒绝授权生效,允许策略不生效。
协议类型:TCP、UDP、GRE、ICMP、全部。端口范围和协议类型的关系,参考 添加安全组规则。
端口范围:-1/-1,表示不限制端口。
授权类型:安全组访问、地址段访问。授权类型和授权对象的关系,参考 添加安全组规则。
授权对象:支持格式如
10.15.6.8/12
或10.15.6.18
。多个用,
隔开。0.0.0.0/0
表示所有 IP,请谨慎设置。优先级:取值范围为 1 ~ 100。优先级数值越小,优先级越高。
删除安全组规则
如果您不再需要某个安全组规则,可以删除安全组规则。
前提条件
已创建安全组。
已 添加安全组规则。
操作步骤
进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组。
找到目标的安全组,单击右侧 操作 栏中的 规则管理。
选择对应的规则类型,找到要删除的规则,单击右侧 操作 栏中的 删除, 在弹出框中单击 确定。