Por que minhas regras de grupo de segurança não entram em vigor?
Sintoma
As regras de grupo de segurança configuradas para um ECS não entraram em vigor.
Solução de problemas
Os problemas aqui são descritos em ordem de probabilidade de ocorrer.
Solucione o problema descartando as causas descritas aqui, uma por uma.
Possível causa |
Solução |
---|---|
Configurações de regra de grupo de segurança incorretas |
|
Conflitos entre as regras da network ACL e as regras do grupo de segurança |
Veja Conflitos entre as regras da network ACL e as regras do grupo de segurança |
Configurações incorretas do firewall do ECS |
Configuração de regra de grupo de segurança incorreta
Se as regras do grupo de segurança estiverem incorretamente configuradas, os ECSs não poderão ser protegidos. Verifique as regras do grupo de segurança com base nas seguintes causas:
- A direção de uma regra está incorreta.
- O protocolo de uma regra está incorreto.
- A porta usada em uma regra é arriscada e não pode ser acessada. Para obter detalhes sobre portas comuns e portas arriscadas, consulte Portas comuns usadas pelos ECSs.
- A porta usada em uma regra não está aberta. Você pode executar as etapas a seguir para verificar se uma porta está sendo ouvida no servidor.
Por exemplo, você implementou um site em ECSs. Os usuários precisam acessar seu site através de TCP (porta 80), e você adicionou a regra de grupo de segurança mostrada em Tabela 2.
ECS do Linux
Para verificar a regra de grupo de segurança em um ECS do Linux:
- Efetue logon no ECS.
- Execute o seguinte comando para verificar se a porta TCP 80 está sendo escutada:
netstat -an | grep 80
Se a saída do comando mostrada em Figura 2 for exibida, a porta TCP 80 está sendo escutada.
- Digite http://ECS EIP na caixa de endereço do navegador e pressione Enter.
Se a página solicitada puder ser acessada, a regra do grupo de segurança entrou em vigor.
ECS do Windows
Para verificar a regra de grupo de segurança em um ECS do Windows:
- Efetue logon no ECS.
- Escolha Start > Accessories > Command Prompt.
- Execute o seguinte comando para verificar se a porta TCP 80 está sendo escutada:
netstat -an | findstr 80
Se a saída do comando mostrada em Figura 3 for exibida, a porta TCP 80 está sendo escutada.
- Digite http://ECS EIP na caixa de endereço do navegador e pressione Enter.
Se a página solicitada puder ser acessada, a regra do grupo de segurança entrou em vigor.
- Os ECSs pertencem a diferentes VPCs. Se dois ECSs estiverem no mesmo grupo de segurança, mas em VPCs diferentes, os ECSs não poderão se comunicar entre si. Para habilitar a comunicação entre os ECSs, use uma conexão de emparelhamento de VPC para conectar as duas VPCs. Para obter detalhes sobre a conectividade VPC, consulte Cenários de aplicações.
Você pode adicionar uma regra de grupo de segurança ou modificar uma regra de grupo de segurança para selecionar a direção correta, protocolo e abrir as portas.
Conflitos entre as regras da network ACL e as regras do grupo de segurança
Os grupos de segurança operam ao nível do ECS, enquanto as network ACLs operam ao nível da sub-rede.
Por exemplo, se configurar uma regra de grupo de segurança de entrada para permitir o acesso através da porta 80 e uma regra de network ACL para negar o acesso através da porta 80, a regra de grupo de segurança não terá efeito.
Você pode adicionar uma regra de network ACL ou modificar uma regra de network ACL para permitir o tráfego da porta de protocolo correspondente.
Configurações incorretas do firewall do ECS
Verifique se o firewall do ECS abre as portas necessárias.
For details, see Disabling a Windows ECS Firewall and Adding a Port Exception on a Windows ECS Firewall or Disabling a Linux ECS Firewall and Adding a Port Exception on a Linux ECS Firewall.
Enviar um tíquete de serviço
Se o problema persistir, envie um tíquete de serviço.