Adição de uma regra de grupo de segurança

Cenários

Um grupo de segurança é uma coleção de regras de controle de acesso para controlar o tráfego que tem permissão para alcançar e sair dos recursos de nuvem aos quais está associado. Os recursos de nuvem podem ser servidores de nuvem, contêineres, bancos de dados e muito mais. Um grupo de segurança consiste em regras de entrada e saída.

Se as regras do grupo de segurança associado à sua instância não puderem atender aos seus requisitos, por exemplo, você precisar permitir o tráfego de entrada em uma porta TCP específica, poderá adicionar uma regra de entrada para permitir o tráfego na porta TCP.

Exemplos de configuração de regra de grupo de segurança

• O sistema fornece um grupo de segurança padrão. Para obter detalhes sobre regras do grupo de segurança padrão, consulte Grupos de segurança padrão e regras de grupo de segurança. Se as regras de grupo de segurança padrão não puderem atender aos seus requisitos, você poderá modificá-las.
• Antes de configurar regras de grupo de segurança, você precisa planejar regras para comunicações entre instâncias no grupo de segurança. Para obter mais exemplos de configuração de regras de grupo de segurança, consulte Exemplos de configuração de grupo de segurança.

Procedimento

1. Faça logon no console de gerenciamento.
2. Clique em no canto superior esquerdo e selecione a região e o projeto desejados.
3. Na página inicial do console, em Rede, clique em Virtual Private Cloud.
4. No painel de navegação à esquerda, escolha Access Control > Security Groups.

   A lista de grupos de segurança é exibida.

5. Localize a linha que contém o grupo de segurança de destino, clique em Manage Rule na coluna Operation.

   A página para configurar as regras do grupo de segurança é exibida.

6. Na guia Inbound Rules, clique em Add Rule.

   A caixa de diálogo Add Inbound Rule é exibida.

7. Configure os parâmetros necessários.

   Você pode clicar em + para adicionar mais regras de entrada.

   Figura 1 Adicionar regra de entrada
   

   Tabela 1 Descrição do parâmetro da regra de entrada

   Parâmetro	Descrição	Exemplo de valor
   Priority	A prioridade da regra do grupo de segurança. O valor de prioridade varia de 1 a 100. O valor padrão é 1 e tem a prioridade mais alta. A regra de grupo de segurança com um valor menor tem uma prioridade mais alta.	1
   Action	Allow ou Deny Se a Action estiver definida como Allow, o acesso da origem será permitido aos ECSs no grupo de segurança nas portas especificadas. Se a Action estiver definida como Deny, o acesso da origem será negado aos ECSs no grupo de segurança nas portas especificadas. As regras de negação têm precedência sobre as regras de permissão da mesma prioridade.	Allow
   Type	Versão do endereço IP de origem. Você pode selecionar: IPv4 IPv6	IPv4
   Protocol & Port	Protocol: o protocolo de rede. Atualmente, o valor pode ser All, TCP, UDP, ICMP, GRE ou outros.	TCP
   	Port: a porta ou o intervalo de portas sobre o qual o tráfego pode chegar ao ECS. O valor varia de 1 a 65535. Insira portas no seguinte formato: Porta individual: digite uma porta, como 22. Portas consecutivas: insira um intervalo de portas, como 22-30. Portas não consecutivas: insira portas e intervalos de portas, como 22,23-30. Você pode inserir um máximo de 20 portas e intervalos de portas. Cada intervalo de portas deve ser exclusivo. Todas as portas: deixe-o vazio ou digite 1-65535.	22 ou 22-30
   Source	A origem em uma regra de entrada é usada para corresponder ao endereço IP ou intervalo de endereços de uma solicitação externa. A origem pode ser: IP address: Endereço IP único: endereço/máscara IP Exemplo de endereço IPv4: 192.168.10.10/32 Exemplo de endereço IPv6: 2002:50::44/128 Intervalo de endereços IP na notação CIDR: endereço/máscara IP Exemplo de intervalo de endereços IPv4: 192.168.52.0/24 Exemplo de intervalo de endereços IPv6: 2407:c080:802:469::/64 Todos os endereços IP 0.0.0.0/0 representa todos os endereços IPv4. ::/0 representa todos os endereços IPv6. Security group: a origem é de outro grupo de segurança. Você pode selecionar um grupo de segurança na mesma região sob a conta atual na lista suspensa. Há a instância A no grupo de segurança A e a instância B no grupo de segurança B. Se o grupo de segurança A tiver uma regra de entrada com Action definida como Allow e Source definida como grupo de segurança B, o acesso da instância B será permitido à instância A. IP address group: um grupo de endereços IP é uma coleção de um ou mais endereços IP. Você pode selecionar um grupo de endereços IP disponível na lista suspensa. Um grupo de endereços IP pode ajudá-lo a gerenciar intervalos de endereços IP e endereços IP com os mesmos requisitos de segurança de uma maneira mais simples.	Endereço IP: 0.0.0.0/0
   Description	Informações complementares sobre a regra de grupo de segurança. Este parâmetro é opcional. A descrição da regra de grupo de segurança pode conter um máximo de 255 caracteres e não pode conter colchetes angulares (< ou >).	N/A

8. Clique em OK.

   A lista de regras de entrada é exibida.

9. Na guia Outbound Rules, clique em Add Rule.

   A caixa de diálogo Add Outbound Rule é exibida.

10. Configure os parâmetros necessários.

    Você pode clicar em +·para adicionar mais regras de saída.

    Figura 2 Adicionar regra de saída
    

    Tabela 2 Descrição do parâmetro de regra de saída

    Parâmetro	Descrição	Exemplo de valor
    Priority	A prioridade da regra do grupo de segurança. O valor de prioridade varia de 1 a 100. O valor padrão é 1 e tem a prioridade mais alta. A regra de grupo de segurança com um valor menor tem uma prioridade mais alta.	1
    Action	Allow ou Deny Se a Action estiver definida como Allow, o acesso de ECSs no grupo de segurança será permitido ao destino pelas portas especificadas. Se a Action estiver definida como Deny, o acesso de ECSs no grupo de segurança será negado ao destino nas portas especificadas. As regras de negação têm precedência sobre as regras de permissão da mesma prioridade.	Allow
    Type	Versão do endereço IP de destino. Você pode selecionar: IPv4 IPv6	IPv4
    Protocol & Port	Protocol: o protocolo de rede. Atualmente, o valor pode ser All, TCP, UDP, ICMP, GRE ou outros.	TCP
    	Port: a porta ou o intervalo de portas em que o tráfego pode sair do ECS. O valor varia de 1 a 65535.	22 ou 22-30
    Destination	O destino em uma regra de saída é usado para corresponder ao endereço IP ou intervalo de endereços de uma solicitação interna. O destino pode ser: IP address Endereço IP único: endereço/máscara IP Exemplo de endereço IPv4: 192.168.10.10/32 Exemplo de endereço IPv6: 2002:50::44/128 Intervalo de endereços IP na notação CIDR: endereço/máscara IP Exemplo de intervalo de endereços IPv4: 192.168.52.0/24 Exemplo de intervalo de endereços IPv6: 2407:c080:802:469::/64 Todos os endereços IP 0.0.0.0/0 representa todos os endereços IPv4. ::/0 representa todos os endereços IPv6. Security group: o destino é de outro grupo de segurança. Você pode selecionar um grupo de segurança na mesma região sob a conta atual na lista suspensa. Há a instância A no grupo de segurança A e a instância B no grupo de segurança B. Se o grupo de segurança A tiver uma regra de saída com Action definida como Allow e Destination definido como grupo de segurança B, o acesso da instância A será permitido à instância B. IP address group: um grupo de endereços IP é uma coleção de um ou mais endereços IP. Você pode selecionar um grupo de endereços IP disponível na lista suspensa. Um grupo de endereços IP pode ajudá-lo a gerenciar intervalos de endereços IP e endereços IP com os mesmos requisitos de segurança de uma maneira mais simples.	Endereço IP: 0.0.0.0/0
    Description	Informações complementares sobre a regra de grupo de segurança. Este parâmetro é opcional. A descrição da regra de grupo de segurança pode conter um máximo de 255 caracteres e não pode conter colchetes angulares (< ou >).	N/A

11. Clique em OK.

    A lista de regras de saída é exibida.

Verificação

Depois que as regras de grupo de segurança necessárias forem adicionadas, você poderá verificar se as regras entram em vigor. Por exemplo, você implementou um site em ECSs. Os usuários precisam acessar seu site através de TCP (porta 80), e você adicionou a regra de grupo de segurança mostrada em Tabela 3.

ECS do Linux

Para verificar a regra de grupo de segurança em um ECS do Linux:

1. Efetue logon no ECS.
2. Execute o seguinte comando para verificar se a porta TCP 80 está sendo escutada:

   netstat -an | grep 80

   Se a saída do comando mostrada em Figura 3 for exibida, a porta TCP 80 está sendo escutada.

   Figura 3 Saída de comando para o ECS do Linux
   
3. Digite http://ECS EIP na caixa de endereço do navegador e pressione Enter.

   Se a página solicitada puder ser acessada, a regra do grupo de segurança entrou em vigor.

ECS do Windows

Para verificar a regra de grupo de segurança em um ECS do Windows:

1. Efetue logon no ECS.
2. Escolha Start > Accessories > Command Prompt.
3. Execute o seguinte comando para verificar se a porta TCP 80 está sendo escutada:

   netstat -an | findstr 80

   Se a saída do comando mostrada em Figura 4 for exibida, a porta TCP 80 está sendo escutada.

   Figura 4 Saída de comando para o ECS do Windows
   
4. Digite http://ECS EIP na caixa de endereço do navegador e pressione Enter.

   Se a página solicitada puder ser acessada, a regra do grupo de segurança entrou em vigor.