更新时间:2025-08-04 GMT+08:00

Flexus L实例安全组概述

安全组

安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。

您在创建Flexus L实例时,系统会自动为您创建默认安全组(sg-default-smb)并关联至该实例。除了默认安全组,您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组,多个安全组按照优先级顺序依次匹配流量。

安全组中包括入方向规则和出方向规则,您可以针对每条入方向规则指定来源、端口和协议,针对出方向规则指定目的地、端口和协议,用来控制安全组内实例入方向和出方向的网络流量。以图1为例,在区域A内,某客户创建Flexus L实例后自动关联了默认的虚拟私有云vpc-default-smb和子网subnet-default-smb,在子网subnet-default-smb中L实例关联了默认安全组sg-default-smb来保护L实例的网络安全。
  • 安全组sg-default-smb的入方向存在一条放通ICMP端口的自定义规则,因此可以通过个人PC (计算机)ping通L实例。但是安全组内未包含允许外部访问安全组内实例的SSH(22)端口或RDP(3389)端口的规则,因此您无法通过个人PC远程登录L实例。
  • 当L实例需要通过EIP访问公网时,由于安全组sg-default-smb的出方向规则允许所有流量从实例流出,因此L实例可以访问公网。
图1 安全组架构图

更多关于安全组的信息,请参见安全组文档。

安全组规则

安全组中包括入方向规则和出方向规则,用来控制安全组内实例的入方向和出方向的网络流量。
  • 入方向规则:控制外部请求访问安全组内的实例,即流量流入实例。
  • 出方向规则:控制安全组内实例访问外部的请求,即流量从实例流出。
安全组规则由协议端口、源地址/目的地址等组成,关键信息说明如下表:
表1 安全组规则关键参数

关键参数

描述

优先级

优先级可选范围为1-100,数字越小,规则优先级级别越高。安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略。

策略

支持允许或拒绝。当流量的协议、端口、源地址/目的地址成功匹配某个安全组规则后,会对流量执行规则对应的策略,允许或拒绝流量。

类型

支持设置IPv4和IPv6协议的规则。

协议端口

包括网络协议类型和端口范围。
  • 网络协议:匹配流量的协议类型,支持TCP、UDP、ICMP和GRE协议。
  • 端口范围:匹配流量的目的端口,取值范围为:1~65535。

源地址或目的地址

在入方向中,匹配流量的源地址。在出方向中,匹配流量的目的地址。

您可以使用IP地址、安全组、IP地址组作为源地址或者目的地址。

  • IP地址:某个固定的IP地址或者网段,支持IPv4和IPv6地址。比如:192.168.10.10/32(IPv4地址)、192.168.1.0/24(IPv4网段)、2407:c080:802:469::/64(IPv6网段)
  • 安全组:目标安全组和当前安全组位于同一区域,表示流量匹配目标安全组内所有实例的私有IP地址。比如:当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。
  • IP地址组:IP地址组是一个或者多个IP地址的集合,对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。

Flexus L实例默认安全组(sg-default-smb)入方向默认只允许安全组内实例互通,拒绝来自安全组外部的所有请求进入实例;出方向默认端口全放通,允许所有请求从安全组内实例流出。Flexus L实例默认安全组规则详见默认安全组和规则。您也可以自定义添加安全组规则,具体操作请参见配置Flexus L实例安全组规则

表2 默认安全组规则

规则方向

策略

类型

协议端口

源地址/目的地址

描述

入方向规则

允许

IPv4

全部

源地址:sg-default-smb

针对全部IPv4协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

入方向规则

允许

IPv6

全部

针对全部IPv6协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

出方向规则

允许

IPv4

全部

目的地址:0.0.0.0/0

针对全部IPv4协议,允许安全组内的实例可访问外部IP的所有端口。

出方向规则

允许

IPv6

全部

目的地址:::/0

针对全部IPv6协议,允许安全组内的实例可访问外部IP的所有端口。

入方向规则的源地址设置为0.0.0.0/0或::/0,表示允许或拒绝所有外部IP地址访问您的实例,如果将“22、3389、8848”等高危端口暴露到公网,可能导致网络入侵,造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。

安全组的限制

  • 默认情况下,一个用户可以创建100个安全组。
  • 默认情况下,一个安全组最多只允许拥有50条安全组规则。
  • 为了更好的网络性能,一个云服务器或辅助网卡建议您选择不多于5个安全组。
  • 安全组添加实例时,一次最多可添加20个实例。
  • 一个安全组最多允许关联1000个实例。