Configuração de regras de grupo de segurança
Cenários
Um grupo de segurança é uma coleção de regras de controle de acesso para ECSs e instâncias que têm os mesmos requisitos de segurança e são mutuamente confiáveis em uma VPC.
Para garantir a segurança e a confiabilidade do banco de dados, você precisa configurar regras de grupo de segurança para permitir que endereços IP e portas específicos acessem instâncias.
Quando você tenta acessar uma instância por meio de um EIP, precisa configurar uma regra de entrada para o grupo de segurança vinculado à instância.
Esta seção descreve como configurar uma regra de entrada para uma instância de banco de dados.
Para obter detalhes sobre os requisitos das regras de grupo de segurança, consulte Adição de uma regra de grupo de segurança no Guia de usuário da Virtual Private Cloud.
Precauções
a regra do grupo de segurança padrão permite todos os pacotes de dados de saída. Se um ECS e uma instância estiverem no mesmo grupo de segurança, eles poderão acessar um ao outro. Quando um grupo de segurança é criado, você pode configurar regras de grupo de segurança para controlar o acesso de e para instâncias vinculadas a esse grupo de segurança.
- Por padrão, você pode criar até 500 regras de grupo de segurança.
- Muitas regras de grupo de segurança aumentarão a latência do primeiro pacote. É aconselhável criar até 50 regras para cada grupo de segurança.
- Para acessar uma instância de recursos fora do grupo de segurança, é necessário configurar uma regra de entrada para o grupo de segurança vinculado à instância.
Para garantir a segurança de dados e instâncias, use as permissões corretamente. É aconselhável usar a permissão mínima de acesso, alterar a porta padrão do banco de dados 3306 e definir o endereço IP acessível para o endereço do servidor remoto ou o endereço de sub-rede mínimo do servidor remoto para controlar o escopo de acesso do servidor remoto.
Se você usar 0.0.0.0/0, todos os endereços IP poderão acessar instâncias vinculadas ao grupo de segurança.
Procedimento
- Faça logon no console de gerenciamento.
- Clique em no canto superior esquerdo e selecione uma região e um projeto.
- Clique em no canto superior esquerdo da página, escolha .
- Na página Instances, clique no nome da instância para acessar a página Basic Information.
- Configure regras de grupos de segurança.
Na área Network Information da página Basic Information, clique no nome do grupo de segurança ao lado do campo Security Group.
Figura 1 Configuração de um grupo de segurança
- Na guia Inbound Rules, clique em Add Rule. Na caixa de diálogo exibida, configure os parâmetros necessários e clique em OK.
Você pode clicar em + para adicionar mais regras de entrada.
Figura 2 Adição de regras de entrada
Tabela 1 Descrição do parâmetro da regra de entrada Parâmetro
Descrição
Exemplo de valor
Protocol & Port
Protocolo de rede para o qual a regra de grupo de segurança entra em vigor.
- Atualmente, o valor pode ser All, TCP (All ports), TCP (Custom ports), UDP (All ports), UDP (Custom ports), ICMP, GRE ou outros.
- All: indica que todas as portas de protocolo são suportadas.
TCP (Custom ports)
Port: a porta pela qual o tráfego pode alcançar sua instância de BD.
Ao se conectar à instância de banco de dados por meio de uma rede pública, insira a porta da instância de banco de dados.
- Porta individual: insira uma porta, como 22.
- Portas consecutivas: insira um intervalo de portas, como 22-30.
- Todas as portas: deixe-a vazia ou insira 1-65535.
Type
Atualmente, apenas IPv4 e IPv6 são suportados.
IPv4
Address
Origem da regra do grupo de segurança. O valor pode ser um grupo de segurança ou um endereço IP.
xxx.xxx.xxx.xxx/32 (endereço IPv4)
xxx.xxx.xxx.0/24 (sub-rede)
0.0.0.0/0 (qualquer endereço IP)
0.0.0.0/0
Description
Informações complementares sobre a regra de grupo de segurança. Este parâmetro é opcional.
A descrição pode conter até 255 caracteres e não pode conter colchetes angulares (<>).
-
Operation
Você pode replicar ou excluir uma regra de grupo de segurança. No entanto, se houver apenas uma regra de grupo de segurança, você não poderá excluí-la.
-