安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个 ECS 实例至少属于一个安全组,在创建时就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。
更多关于安全组的介绍,参见 安全组。
添加安全组
您可以通过添加安全组将安全组与工作空间绑定,绑定后该安全组内的所有资源自动属于该工作空间。
前提条件
如果您要创建专有网络 VPC 类型安全组,请确认您已经有可用的专有网络 VPC 和虚拟交换机。更多详情,请参见 创建专有网络。
操作步骤
登录 SOFAStack 控制台,在左侧导航栏单击 全局设置,进入工作空间页。
单击选择的工作空间卡片,进入 工作空间详情 页面。
在 资源列表 页面,单击 安全组 > 添加安全组。
在弹出的 添加安全组 对话框,根据以下信息配置安全组,然后单击 确定。
配置
说明
安全组名称
输入安全组的名称。
长度为 2-128 个字符,只能包含字母、数字、短横线以及
.,必须以字母开头。描述
可包含 2-256 个中英文字符,不能以
http://和https://开头。规则
安全组规则。单击 添加规则 即可进行添加。详情请参见 添加安全组规则。
删除安全组
若您的业务已经不再需要一个或多个安全组,您可以删除安全组。
前提条件
待删除或移出的安全组内不存在 ECS 实例。如果安全组内有 ECS 实例,您需要将实例移出安全组。
操作步骤
登录 SOFAStack 控制台,在左侧导航栏单击 全局设置,进入工作空间页。
单击选择的工作空间卡片,进入 工作空间详情 页面。
在 资源列表 页面,单击 安全组,找到要删除的安全组,单击 删除 > 确认。
安全组删除后,组内所有安全组规则同时被删除。
添加安全组规则
您可以通过添加安全组规则,允许或禁止安全组内的 ECS 实例对公网或私网的访问。
前提条件
已创建安全组。
操作步骤
登录 SOFAStack 控制台,在左侧导航栏单击 全局设置,进入工作空间页。
单击选择的工作空间卡片,进入 工作空间详情 页面。
在 资源列表 页面,单击 安全组。
找到要添加安全组规则的安全组,单击安全组前面的展开图标。
在展开的区域,单击 添加规则。
在弹出对话框中根据以下信息配置规则后,单击 确定。
配置
说明
网卡类型
VPC 网络下的安全组,仅支持 内网。
规则方向
内网出方向:是指 ECS 实例访问内网中其他 ECS 实例或者公网上的资源。
内网入方向:是指内网中的其他 ECS 实例或公网上的资源访问 ECS 实例。
协议类型
默认值为 ALL。支持协议类型包括:
TCP
UDP
GRE
ICMP
ALL
端口范围和协议类型的关系,参考 添加安全组规则。
端口范围
默认 -1 ~ -1,表示不限制端口。取值范围为 1 ~ 65535。
访问权限
支持 接受访问、拒绝访问。
优先级
默认值为 1。取值范围为 1 ~ 100。数值越小,代表优先级越高。
源端 IP 地址
源端 IP 地址范围。默认值为 0.0.0.0/0。
说明目前,仅支持 IPv4 格式的 IP 地址范围。
目标端 IP 地址
目的端 IP 地址范围。默认值为 0.0.0.0/0。
说明目前,仅支持 IPv4 格式的 IP 地址范围。
规则描述信息
安全组规则的描述信息。
删除安全组规则
如果您不再需要某个安全组规则,可以删除安全组规则。
前提条件
已创建安全组。
操作步骤
登录 SOFAStack 控制台,在左侧导航栏单击 全局设置,进入工作空间页。
单击选择的工作空间卡片,进入 工作空间详情 页面。
在 资源列表 页面,单击 安全组。找到要添加安全组规则的安全组,单击安全组前面的展开图标。
在展开的区域,找到要删除的规则,单击 删除 > 确认。