更新时间:2024-04-18 GMT+08:00

步骤4:添加安全组规则

操作场景

安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成。您可以参考以下章节添加安全组规则,用来控制流入/流出安全组内实例(如ECS)的流量。

在安全组内添加安全组规则

  1. 登录管理控制台。
  2. 在页面左上角单击图标,打开服务列表,选择“网络 > 虚拟私有云”。

    进入虚拟私有云列表页面。

  3. 在左侧导航栏,选择“访问控制 > 安全组”。

    进入安全组列表页面。

  4. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。

    进入安全组规则配置页面。

  5. 在“入方向规则”页签,单击“添加规则”。

    弹出“添加入方向规则”对话框。

  6. 根据界面提示,设置入方向规则参数。

    单击“+”按钮,可以依次增加多条入方向规则。

    表1 入方向规则参数说明

    参数

    说明

    取值样例

    类型

    源地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在入方向规则中,表示外部访问安全组内实例的指定端口。

    22或22-30

    源地址

    源地址可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。当源地址选择IP地址时,您可以在一个IP地址框内同时输入多个IP地址,一个IP地址对应一条安全组规则。
    • IP地址:
      • 单个IP地址:比如192.168.10.10/32
      • 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0
      • IP网段:比如192.168.1.0/24

    若源地址为安全组,则选定安全组内的云服务器都遵从当前所创建的规则。

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  7. 入方向规则设置完成后,单击“确定”。

    返回入方向规则列表,可以查看添加的入方向规则。

  8. 在“出方向规则”页签,单击“添加规则”。

    弹出“添加出方向规则”页签。

  9. 根据界面提示,设置出方向规则参数。

    单击“+”按钮,可以依次增加多条出方向规则。

    表2 出方向规则参数说明

    参数

    说明

    取值样例

    类型

    目的地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在出方向规则中,表示安全组内实例访问外部地址的指定端口。

    22或22-30

    目的地址

    目的地址可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。当目的地址选择IP地址时,您可以在一个IP地址框内同时输入多个IP地址,一个IP地址对应一条安全组规则。

    • IP地址:
      • 单个IP地址:比如192.168.10.10/32
      • 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0
      • IP网段:比如192.168.1.0/24

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  10. 出方向规则设置完成后,单击“确定”。

    返回出方向规则列表,可以查看添加的出方向规则。

检查安全组规则是否生效

在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效。

假设您在某台ECS上部署了网站,希望用户能通过HTTP(80)端口访问到您的网站,则您需要先在ECS所在安全组的入方向中,添加表3中的规则,放通HTTP(80)端口。
表3 安全组规则示例

方向

类型

协议端口

源地址

入方向

IPv4

自定义TCP: 80

IP地址:0.0.0.0/0

安全组规则添加完成后,您需要执行以下操作,检查云服务器内端口开放情况,并验证配置是否生效。
  1. 登录云服务器,检查云服务器端口开放情况。
    • 检查Linux云服务器端口

      执行以下命令,查看TCP 80端口是否被监听。

      netstat -an | grep 80

      若回显类似图1,说明80端口已开通。

      图1 Linux TCP 80端口验证结果
    • 检查Windows云服务器端口
      1. 通过“开始菜单 > 运行 > cmd”,打开命令执行窗口。
      2. 执行以下命令,查看TCP 80端口是否被监听。

        netstat -an | findstr 80

        若回显类似图2,说明TCP 80端口已开通。

        图2 Windows TCP 80端口验证结果
  2. 打开浏览器,在地址栏里输入“http://云服务器的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。