安全组配置示例
本章节为您介绍一些常用的安全组的配置示例,包括远程登录云服务器,对外提供网站访问、不同安全组内实例内网互通等。
安全组的出方向规则一般默认全部放通,即允许安全组内实例访问外部的所有请求出去,配置说明如表1所示。
在本地服务器远程连接云服务器上传或者下载文件
安全组默认拒绝所有来自外部的请求,如果您需要在本地服务器远程连接云服务器上传或者下载文件,那么您需要开通FTP(20、21)端口。
规则方向 |
协议端口 |
源地址 |
---|---|---|
入方向规则 |
自定义TCP: 20-21 |
IP地址:0.0.0.0/0 |
您需要在弹性云服务器上先安装FTP服务器程序,再查看20、21端口是否正常工作。
在云服务器上搭建网站对外提供Web服务
安全组默认拒绝所有来自外部的请求,如果您在云服器上搭建了可供外部访问的网站,则您需要在安全组入方向添加对应的规则,放通对应的端口,例如HTTP(80)、HTTPS(443)。
规则方向 |
协议端口 |
源地址 |
---|---|---|
入方向规则 |
自定义TCP: 80 |
IP地址:0.0.0.0/0 |
入方向规则 |
自定义TCP: 443 |
IP地址:0.0.0.0/0 |
使用ping命令验证网络连通性
安全组默认拒绝所有来自外部的请求,如果您需要在云服器上使用ping命令验证网络的连通性,则您需要在安全组入方向添加对应的规则,放通ICMP端口。
规则方向 |
协议端口 |
源地址 |
---|---|---|
入方向规则 |
ICMP: 全部 |
IP地址:0.0.0.0/0 |
不同安全组内实例内网网络互通
同一个VPC内,位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据,比如安全组sg-A内的云服务器访问安全组sg-B内的MySQL数据库,您需要通过在安全组sg-B中添加一条入方向规则,放通MySQL (3306)端口,允许来自安全组sg-A内云服务器的请求进入。
规则方向 |
协议端口 |
源地址 |
---|---|---|
入方向规则 |
自定义TCP: 3306 |
安全组:sg-A |
云服务器提供数据库访问服务
安全组默认拒绝所有来自外部的请求,如果您在云服器上部署了数据库服务,允许其他云服务器通过内网访问数据库服务,则您需要在部署数据库云服务器所在的安全组内,添加入方向规则,放通对应的端口,例如MySQL(3306)、Oracle(1521)、MS SQL(1433)、PostgreSQL(5432)、Redis(6379)。
规则方向 |
协议端口 |
源地址 |
描述 |
---|---|---|---|
入方向规则 |
自定义TCP: 3306 |
安全组:sg-A |
允许安全组sg-A内云服务器访问MySQL数据库服务。 |
入方向规则 |
自定义TCP: 1521 |
安全组:sg-B |
允许安全组sg-B内云服务器访问Oracle数据库服务。 |
入方向规则 |
自定义TCP: 1433 |
IP地址:172.16.3.21/32 |
允许私网IP地址为172.16.3.21的云服务器访问MS SQL数据库服务。 |
入方向规则 |
自定义TCP: 5432 |
IP地址:192.168.0.0/24 |
允许私网IP地址属于192.168.0.0/24网段的云服务器访问PostgreSQL数据库服务。 |
本示例中源地址提供的配置仅供参考,请您根据实际需求设置源地址。