云手机使用自定义网络的安全组授权规则

使用自定义网络创建云手机服务器时，云手机服务将为您创建一个“cph_admin_trust”委托，该委托包含的权限为：“CPH AgencyDependencyAccess”。

授权云手机服务为您创建委托，需确定您的登录用户具有“Security Administrator”权限或者具备创建委托的细粒度权限“iam:agencies:createAgency”。了解更多请参考权限管理。

云手机服务将使用该委托完成如下操作：

• 为云手机/云游戏实例创建弹性网卡，分配弹性公网IP、虚拟IP。
• 为云手机/云手游服务器创建默认名称为system-cph-sg的安全组，并设置安全组开放端口范围，具体默认规则参考图1、图2。

图1 入方向规则

• 22端口为公网通过SSH加密隧道ADB连接云手机依赖端口。
• 10000~19000端口范围将映射至每个云手机云游戏实例以支持实例开放的多个应用访问端口，每个云手机云游戏开放的应用端口可在云手机详情内查看。
• “CPH deny rule for tenant vpc”规则用于限制同一VPC下的服务器之间的手机，使其不能通过1-9999的端口互访。

图2 出方向规则

同一VPC下的弹性云服务器默认无法通过1-9999端口访问云手机/云游戏实例，若想放开此限制，需要添加高优先级的安全组规则。例如某弹性云服务器IP地址为192.168.0.164，想要通过4555端口访问云手机，则需要添加以下入方向规则：

• 优先级：1
• 策略：允许
• 协议端口：4555
• 源地址：192.168.0.164

图3 添加高优先级安全组规则