如何配置云堡垒机的安全组？

背景介绍

安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。

为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。

• 云堡垒机实例可与纳管的资源共用一个安全组，各自取用安全组规则，互不影响。
• 每个用户有一个默认安全组Sys-default，用户可选择Sys-default安全组，根据需要添加相应安全组规则。用户也可选择自定义安全组，新建安全组并添加合理安全组规则。
• 云堡垒机实例创建成功后，您可以随时修改堡垒机绑定的安全组，一台堡垒机实例最多接入5个安全组，详见更改安全组。
• 为确保云堡垒机正常连接资源，ECS主机、RDS数据库等资源需配置合理安全组规则，放开相应网关IP和端口，并允许云堡垒机“私有IP地址”访问，资源安全组配置可参考ECS安全组配置。
• 云堡垒机正常使用，实例和资源安全组端口配置可参考使用云堡垒机时需要配置哪些端口？。

配置云堡垒机安全组

1. 登录云堡垒机实例管理控制台。
2. 单击“购买云堡垒机”，进入“购买云堡垒机实例”页面。
3. 在“安全组”参数选项框右侧，单击“管理安全组”，跳转至安全组配置页面，创建安全组和添加安全组规则。
   

   也可在“安全组”选项框内选择合理配置的安全组。

4. 单击“创建安全组”，创建一个新的安全组，详细指导请参见创建安全组。
5. 单击“操作”列中的“配置规则”，为安全组添加安全组规则，详细指导请参见添加安全组规则。
6. 选择“入方向”页签，单击“添加规则”。同理，可以添加出方向规则。

   根据云堡垒机使用组网场景配置安全规则，参考表1配置。

7. 完成安全组规则配置，返回“购买云堡垒机服务”页面，选择指定安全组，合理配置其他参数后创建实例。

配置安全组不合理，运维故障场景

安全组配置不合理，在使用云堡垒机时可能会出现以下故障：

1. 实例许可证认证错误
   • 实例创建失败，提示“Lincense激活失败”，可能未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证
   • 登录云堡垒机提示License过期，未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证。
2. 登录云堡垒机系统错误
   • 云堡垒机系统登录页面载入失败，提示“服务器响应时间过长”，可能未配置入方向TCP协议443端口；
   • 云堡垒机系统页面无法正常显示，可能未配置入方向TCP协议443端口，导致Web浏览器不能正常登录系统。
3. 主机资源验证错误
   • 在资源中添加主机时，提示“主机不可达”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器；
   • 添加主机时验证账户密码，提示“主机不可达”，可能未配置入方向ICMP协议，导致外网ping不通主机资源。
4. 云堡垒机访问资源错误
   • 在登录云资源时，提示“连接错误”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器；
   • 使用云堡垒机登录云主机黑屏，无法正常显示，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器；
   • 云堡垒机使用过程中上报514错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T_514）”，可能未配置入方向TCP协议2222端口。