更新时间:2024-03-05 GMT+08:00

步骤5:添加安全组规则

操作场景

安全组实际是网络流量访问策略,通过访问策略可以控制流量入方向规则和出方向规则,通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。

安全组规则遵循白名单规则,具体说明如下:
  • 入方向规则:入方向指外部访问安全组内实例的指定端口。

    当外部请求匹配上安全组中入方向规则的源地址,并且策略为“允许”时,允许该请求进入,其他请求一律拦截。

    因此,默认情况下,您一般不用在入方向配置策略为“拒绝”的规则,因为不匹配“允许”规则的请求均会被拦截。

  • 出方向规则:出方向指安全组内实例访问外部的指定端口。

    在出方向中配置目的地址匹配所有IP地址的规则,并且策略为“允许”时,允许所有的内部请求出去。

    0.0.0.0/0表示匹配所有IPv4地址。

如果实例关联的安全组策略无法满足使用需求,比如需要开放某个TCP端口,您可以参考以下操作,通过在入方向规则添加端口,从而打开指定的TCP端口。

操作步骤

  1. 登录管理控制台。
  2. 在页面左上角单击图标,打开服务列表,选择“网络 > 虚拟私有云”。

    进入虚拟私有云列表页面。

  3. 在左侧导航栏,选择“访问控制 > 安全组”。

    进入安全组列表页面。

  4. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。

    进入安全组规则配置页面。

  5. 在“入方向规则”页签,单击“添加规则”。

    弹出“添加入方向规则”对话框。

  6. 根据界面提示,设置入方向规则参数。

    单击“+”按钮,可以依次增加多条入方向规则。

    表1 入方向规则参数说明

    参数

    说明

    取值样例

    类型

    源地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型。

    目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在入方向规则中,表示外部访问安全组内实例的指定端口。

    22或22-30

    源地址

    源地址可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。
    • IP地址:
      • 单个IP地址:比如192.168.10.10/32(IPv4地址)、2002:50::44/128(IPv6地址)
      • 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0(IPv4地址)、::/0(IPv6地址)
      • IP网段:比如192.168.1.0/24(IPv4地址段)、2407:c080:802:469::/64(IPv6地址段)

    若源地址为安全组,则选定安全组内的云服务器都遵从当前所创建的规则。

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  7. 入方向规则设置完成后,单击“确定”。

    返回入方向规则列表,可以查看添加的入方向规则。

  8. 在“出方向规则”页签,单击“添加规则”。

    弹出“添加出方向规则”页签。

  9. 根据界面提示,设置出方向规则参数。

    单击“+”按钮,可以依次增加多条出方向规则。

    表2 出方向规则参数说明

    参数

    说明

    取值样例

    类型

    目的地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型。

    目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在出方向规则中,表示安全组内实例访问外部的指定端口。

    22或22-30

    目的地址

    目的地址可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。

    • IP地址:
      • 单个IP地址:比如192.168.10.10/32(IPv4地址)、2002:50::44/128(IPv6地址)
      • 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0(IPv4地址)、::/0(IPv6地址)
      • IP网段:比如192.168.1.0/24(IPv4地址段)、2407:c080:802:469::/64(IPv6地址段)

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  10. 出方向规则设置完成后,单击“确定”。

    返回出方向规则列表,可以查看添加的出方向规则。