如何选择和配置安全组？

VPC内访问实例

客户端只能部署在与MQS所属的ROMA Connect实例处于相同虚拟私有云（VPC）和相同子网的弹性云服务器（ECS）上。如果二者VPC不同，请参考：MQS是否支持跨VPC和跨子网访问？

除了ECS、MQS所属的ROMA Connect实例必须处于相同VPC和相同子网之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问。

1. 建议ECS、MQS所属ROMA Connect实例配置相同的安全组。安全组创建后，默认包含组内网络访问不受限制的规则。
2. 如果配置了不同安全组，可参考如下配置方式：
   

   • 假设ECS、MQS所属ROMA Connect实例分别配置了安全组：sg-ecs、sg-romaconnect。
   • 以下规则，远端可使用安全组，也可以使用具体的IP地址。

   ECS所在安全组需要增加如下规则，以保证客户端能正常访问MQS。

   表1 ECS安全组规则

   方向	协议	端口	目的地址
   出方向	全部	全部	sg-romaconnect

   MQS所属ROMA Connect实例的安全组需要增加如下规则，以保证能被客户端访问。

   表2 MQS安全组规则

   方向	协议	端口	源地址
   入方向	全部	全部	sg-ecs

通过公网访问实例

客户端访问MQS实例，请按照表3设置安全组规则。