操作场景
安全组类似防火墙功能,是一个逻辑上的分组,用于设置网络访问控制。用户可以在安全组中定义各种访问规则,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。
- 入方向:入方向规则放通入方向网络流量,指从外部访问安全组规则下的云服务器。
- 出方向:出方向规则放通出方向网络流量。指安全组规则下的云服务器访问安全组外的实例。
约束与限制
安全组规则目前仅在“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持拒绝策略、不连续端口号、配置优先级。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 选择“计算 > 弹性云服务器”。
- 在弹性云服务器列表,单击待变更安全组规则的弹性云服务器名称。
系统跳转至该弹性云服务器详情页面。
- 选择“安全组”页签,展开安全组,查看安全组规则。
- 单击安全组ID。
- 在入方向规则页签,单击“添加规则”,添加入方向规则。
表1 入方向参数说明 参数
说明
取值样例
优先级
安全组规则优先级。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。
优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
1
策略
安全组规则策略。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。- 允许:允许该入方向规则访问安全组内云服务器。
- 拒绝:拒绝该入方向规则访问安全组内云服务器。
允许
协议端口
网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。
TCP
端口:允许远端地址访问弹性云服务器指定端口,取值范围为:1~65535。常用端口请参见弹性云服务器常用端口。
端口填写包括以下形式:- 单个端口:例如22
- 连续端口:例如22-30
- 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。
- 全部端口:为空或1-65535
22或22-30或20,22-30
类型
IP地址类型。开通IPv6功能后可见。- IPv4
- IPv6
IPv4
源地址
源地址:可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如:- 单个IP地址:192.168.10.10/32(IPv4地址);2002:50::44/127(IPv6地址)
- IP地址段:192.168.1.0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)
- 所有IP地址:0.0.0.0/0(IPv4任意地址);::/0(IPv6任意地址)
- 安全组:sg-abc
- IP地址组:ipGroup-test
更多IP地址组信息,请参见IP地址组。
0.0.0.0/0
描述
安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-
- 在出方向规则页签,单击“添加规则”,添加出方向规则。
表2 出方向参数说明 参数
说明
取值样例
优先级
安全组规则优先级。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。
优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
1
策略
安全组规则策略。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。- 允许:允许安全组内的服务器按照该出方向规则进行出网访问
- 拒绝:拒绝安全组内的服务器按照该出方向规则进行出网访问。
允许
协议端口
网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。
TCP
端口:允许弹性云服务器访问远端地址的指定端口,取值范围为:1~65535。常用端口请参见弹性云服务器常用端口。
端口填写包括以下形式:- 单个端口:例如22
- 连续端口:例如22-30
- 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。
- 全部端口:为空或1-65535
22或22-30或20,22-30
类型
IP地址类型。开通IPv6功能后可见。- IPv4
- IPv6
IPv4
目的地址
目的地址:可以是IP地址、安全组、IP地址组。允许访问目的IP地址或另一安全组内的实例。例如:- 单个IP地址:192.168.10.10/32(IPv4地址);2002:50::44/127(IPv6地址)
- IP地址段:192.168.1.0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)
- 所有IP地址:0.0.0.0/0(IPv4任意地址);::/0(IPv6任意地址)
- 安全组:sg-abc
- IP地址组:ipGroup-test
更多IP地址组信息,请参见IP地址组。
0.0.0.0/0
描述
安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-
- 单击“确定”,完成安全组规则配置。
结果验证
安全组规则配置完成后,我们需要验证对应的规则是否生效。假设您在弹性云服务器上部署了网站,希望用户能通过TCP(80端口)访问到您的网站,您添加了一条入方向规则,如表3所示。
Linux弹性云服务器
Linux弹性云服务器上验证该安全组规则是否生效的步骤如下所示。
- 登录弹性云服务器。
- 运行如下命令查看TCP 80端口是否被监听。
netstat -an | grep 80
如果返回结果如图3所示,说明TCP 80端口已开通。
- 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。
如果访问成功,说明安全组规则已经生效。
Windows弹性云服务器
Windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示。
- 登录弹性云服务器。
- 选择“开始 > 附件 > 命令提示符”。
- 运行如下命令查看TCP 80端口是否被监听。
netstat -an | findstr 80
如果返回结果如图4所示,说明TCP 80端口已开通。
- 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。
如果访问成功,说明安全组规则已经生效。