更新时间:2022-12-19 GMT+08:00

添加安全组规则

操作场景

安全组的默认规则是在出方向上的数据报文全部放行,安全组内的裸金属服务器无需添加规则即可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当裸金属服务器加入该安全组后,即受到这些访问规则的保护。

在创建裸金属服务器时只能添加一个安全组。裸金属服务器创建完成后,可以在详情页面修改每个网卡对应的安全组。

使用建议

  • 为BMS实例添加安全组规则时遵循最小授权原则。例如:
    • 选择开放具体的端口,而不是端口范围,如80端口。
    • 谨慎授权0.0.0.0/0(全网段)源地址。
  • 不建议使用一个安全组管理所有应用,不同的分层一定有不同的隔离诉求。
  • 不建议为每台BMS实例单独设置一个安全组,您可以将具有相同安全保护需求的实例加入同一个安全组。
  • 建议您设置简洁的安全组规则。例如,如果您给一台BMS实例分配了多个安全组,该实例可能会同时遵循数百条安全组规则,任何一个规则变更都可能引起网络不通的故障。

操作步骤

  1. 登录管理控制台。
  2. 选择“计算 > 裸金属服务器”。

    进入裸金属服务器页面。

  3. 在裸金属服务器列表,单击待变更安全组规则的裸金属服务器名称。

    系统跳转至该裸金属服务器详情页面。

  4. 选择“安全组”页签,并单击,查看安全组规则。
  5. 单击安全组ID。

    系统自动跳转至安全组页面。

  6. 单击操作列的“配置规则”,在安全组详情页根据安全组规则生效的方向添加规则,相关参数说明如表1所示。

    安全组规则生效的方向包括入方向和出方向:入方向指从外表进入安全组的流量,出方向指从安全组内出去的流量。

    表1 参数说明

    参数

    说明

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    策略

    安全组规则策略。

    • 允许:允许安全组内的服务器按照该出方向规则进行出网访问
    • 拒绝:拒绝安全组内的服务器按照该出方向规则进行出网访问。

    优先级相同的情况下,拒绝策略优先于允许策略。

    协议

    网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。

    端口

    规则的端口或端口范围,取值范围为:1~65535。

    类型

    IP地址类型。

    源地址

    流量的源(入站规则),当方向为入方向时,需要填入此参数。

    源地址可以是IP地址,也可以是安全组。

    目的地址

    流量的目标(出站规则),当方向是出方向时,需要填入此参数。

    目的地址可以是IP地址,也可以是安全组。

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的裸金属服务器。