更新时间:2024-04-11 GMT+08:00

步骤5:添加安全组规则

操作场景

安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成。您可以参考以下章节添加安全组规则,用来控制流入/流出安全组内实例(如ECS)的流量。

在安全组内添加安全组规则

  1. 登录管理控制台。
  2. 在页面左上角单击图标,打开服务列表,选择“网络 > 虚拟私有云”。

    进入虚拟私有云列表页面。

  3. 在左侧导航栏,选择“访问控制 > 安全组”。

    进入安全组列表页面。

  4. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。

    进入安全组规则配置页面。

  5. 在“入方向规则”页签,单击“添加规则”。

    弹出“添加入方向规则”对话框。

  6. 根据界面提示,设置入方向规则参数。

    单击“+”按钮,可以依次增加多条入方向规则。

    表1 入方向规则参数说明

    参数

    说明

    取值样例

    类型

    源地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在入方向规则中,表示外部访问安全组内实例的指定端口。

    22或22-30

    源地址

    源地址可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。
    • IP地址:
      • 单个IP地址:比如192.168.10.10/32(IPv4地址)、2002:50::44/128(IPv6地址)
      • 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0(IPv4地址)、::/0(IPv6地址)
      • IP网段:比如192.168.1.0/24(IPv4地址段)、2407:c080:802:469::/64(IPv6地址段)

    若源地址为安全组,则选定安全组内的云服务器都遵从当前所创建的规则。

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  7. 入方向规则设置完成后,单击“确定”。

    返回入方向规则列表,可以查看添加的入方向规则。

  8. 在“出方向规则”页签,单击“添加规则”。

    弹出“添加出方向规则”页签。

  9. 根据界面提示,设置出方向规则参数。

    单击“+”按钮,可以依次增加多条出方向规则。

    表2 出方向规则参数说明

    参数

    说明

    取值样例

    类型

    目的地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在出方向规则中,表示安全组内实例访问外部地址的指定端口。

    22或22-30

    目的地址

    目的地址可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。

    • IP地址:
      • 单个IP地址:比如192.168.10.10/32(IPv4地址)、2002:50::44/128(IPv6地址)
      • 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0(IPv4地址)、::/0(IPv6地址)
      • IP网段:比如192.168.1.0/24(IPv4地址段)、2407:c080:802:469::/64(IPv6地址段)

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  10. 出方向规则设置完成后,单击“确定”。

    返回出方向规则列表,可以查看添加的出方向规则。

检查安全组规则是否生效

在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效。

假设您在某台ECS上部署了网站,希望用户能通过HTTP(80)端口访问到您的网站,则您需要先在ECS所在安全组的入方向中,添加表3中的规则,放通HTTP(80)端口。
表3 安全组规则示例

方向

协议端口

源地址

入方向

自定义TCP: 80

IP地址:0.0.0.0/0

安全组规则添加完成后,您需要执行以下操作,检查云服务器内端口开放情况,并验证配置是否生效。
  1. 登录云服务器,检查云服务器端口开放情况。
    • 检查Linux云服务器端口

      执行以下命令,查看TCP 80端口是否被监听。

      netstat -an | grep 80

      若回显类似图1,说明80端口已开通。

      图1 Linux TCP 80端口验证结果
    • 检查Windows云服务器端口
      1. 通过“开始菜单 > 运行 > cmd”,打开命令执行窗口。
      2. 执行以下命令,查看TCP 80端口是否被监听。

        netstat -an | findstr 80

        若回显类似图2,说明TCP 80端口已开通。

        图2 Windows TCP 80端口验证结果
  2. 打开浏览器,在地址栏里输入“http://云服务器的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。