导入/导出安全组规则
操作场景
您可以在Excel格式文件中填写安全组规则参数,并将规则导入到安全组内。同时,您可以将已有安全组的规则导出至Excel格式文件中。
当您遇到如下场景时,推荐您使用导入和导出安全组功能。
- 本地备份安全组规则:如果您想在本地备份安全组规则,可以导出安全组内的规则,将安全组的出方向、入方向规则信息导出为Excel格式文件。
- 快速创建和恢复安全组规则:如果您想快速创建或恢复安全组规则,可以将安全组规则文件导入到已有安全组中。
- 快速迁移安全组规则:将某个安全组的规则快速应用到其他安全组。
- 批量修改安全组规则:将当前安全组的规则导出后,在Excel文件批量修改完成后,重新导入即可。
当前导出安全组规则提供“导出全部规则”或者“导出源地址/目的地址为IP地址的规则”两种导出功能,请您根据使用场景按需选择。
约束与限制
- 导入安全组规则时,请根据格式要求填写要求的参数,不能新增参数或者修改已有参数名称,否则会导入失败。
- 导入安全组规则时,当源地址/目的地址设置为安全组或者IP地址组时,请务必填写正确的ID信息,否则会导入失败。
- 当本次导入的安全组规则与安全组内已有规则重复,或者本次导入的安全组规则存在重复,系统将会自动忽略掉重复规则,不影响您执行导入操作。如表1所示,规则A、规则B以及规则C均为重复规则。
- 规则A和规则B:规则的方向、策略、类型、协议端口、源地址/目的地址均相同,优先级不同时,为重复规则。
- 规则A和规则C:规则的方向、优先级、策略、类型、协议端口、源地址/目的地址均相同时,为重复规则。
- 对于同一个方向的安全组规则,当类型、协议端口、源地址/目的地址均相同时,不允许这两条规则的策略相反,即不能规则A设置为允许,规则B设置为拒绝,示例如表2所示。
- 当表格中的规则与安全组内已有规则的策略冲突时,安全组会导入失败,请根据界面提示排查修改。
- 当表格中的规则策略冲突时,安全组会导入失败,请根据界面提示排查修改。
- 对于同一个方向的安全组规则,当类型、协议端口、源地址/目的地址均相同时,不允许这两条规则的状态相反,即不能规则A设置为启用,规则B设置为停用,示例如表3所示。
- 当表格中的规则与安全组内已有规则的状态冲突时,安全组会导入失败,请根据界面提示排查修改。
- 当表格中的规则状态冲突时,安全组会导入失败,请根据界面提示排查修改。
- 当您在同一个账号内,跨区域导入安全组规则时,即将区域A的安全组规则导入到区域B时,不支持导入源/目的地址是其他安全组和IP地址组的安全组规则。
- 当您跨账号导入安全组规则时,即将账号A的安全组规则导入到账号B时,不支持导入源/目的地址是其他安全组和IP地址组的安全组规则。
操作步骤
- 进入安全组列表页面。
- 在安全组列表页面,单击目标安全组名称。
- 执行以下操作,导入或者导出安全组规则。
- 单击 “导出规则”,将当前安全组规则导出为Excel文件。
导出安全组规则提供“导出全部规则”或者“导出源地址/目的地址为IP地址的规则”两种导出功能,请您根据使用场景按需选择:
- 导出全部规则:导出安全组内入方向和出方向的全部规则,适用于在本地备份或者批量修改安全组规则,以及使用导出的规则在同区域、同账号内快速创建其他安全组。
- 导出源地址/目的地址为IP地址的规则:仅导出源地址/目的地址为IP地址的规则,会自动过滤掉源地址/目的地址为安全组或者IP地址组的规则,方便您跨区域或者跨账号导入安全组规则。比如在安全组Sg-A的入方向中包含源地址为安全组和IP地址组的规则,使用该导出功能时将会自动过滤掉对应的规则,详情请参考表4。
表4 安全组Sg-A规则导出示例说明 方向
优先级
策略
类型
协议端口
源地址/目的地址
导出说明
入方向
1
允许
IPv4
全部
源地址:安全组(Sg-A)
自动过滤,不会导出
入方向
1
允许
IPv6
全部
源地址:安全组(Sg-A)
自动过滤,不会导出
入方向
1
允许
IPv6
全部
源地址:安全组(Sg-B)
自动过滤,不会导出
入方向
1
允许
IPv4
ICMP:全部
源地址:IP地址 (0.0.0.0/0)
不会过滤,正常导出
入方向
1
允许
IPv4
TCP:22
源地址:IP地址组(ipGroup-A)
自动过滤,不会导出
出方向
1
允许
IPv4
全部
源地址:IP地址 (0.0.0.0/0)
不会过滤,正常导出
出方向
1
允许
IPv6
全部
源地址:IP地址 (::/0)
不会过滤,正常导出
- 单击 “导入规则”,将Excel文件中的安全组规则导入到当前安全组。
导入模板中所涉及参数如表5所示。
表5 安全组规则导入模板参数说明 参数
说明
取值样例
方向
安全组规则的方向:- 入方向:入方向指外部访问安全组内的实例。
- 出方向:出方向指安全组内的实例访问外部。
入方向
优先级
优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
1
状态
安全组规则的状态,支持的状态如下:- 停用:停用安全组规则后,规则将会失效。
- 启用:启用安全组规则后,规则将会生效。
启用
策略
安全组规则策略,支持的策略如下:- 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
- 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。
安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序。
允许
类型
源地址支持的IP地址类型,如下:- IPv4
- IPv6
IPv4
协议端口
安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。
TCP
安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。
在入方向规则中,表示外部访问安全组内实例的指定端口。
在出方向规则中,表示安全组内实例访问外部地址的指定端口。
22或22-30
源地址
源地址是入方向规则中,用来匹配外部请求的地址,支持以下格式:- IP地址:表示源地址为某个固定的IP地址。
- 安全组:表示源地址为另外一个安全组,您可以选择当前账号下,同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A设置入方向规则时的“策略”为允许,源地址选择安全组B时,表示来自实例b的内网访问请求被允许进入实例a。
安全组格式填写要求:安全组名称(安全组ID),例如,sg-test(96a8a93f-XXX-d7872990c314)
- IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。
IP地址组格式填写要求:IP地址组名称(IP地址组ID),例如,ipGroup-test(96a8a93f-XXX-d7872990c314)
sg-test[96a8a93f-XXX-d7872990c314]
目的地址
目的地址是出方向规则中,用来匹配内部请求的地址,支持以下格式:- IP地址:表示目的地址为某个固定的IP地址。
- 安全组:表示目的地址为另外一个安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A设置出方向规则时的“策略”为允许,目的地址选择安全组B时,表示实例a内部的请求被允许出去访问实例b。
安全组格式填写要求:安全组名称(安全组ID),例如,sg-test(96a8a93f-XXX-d7872990c314)
- IP地址组:表示目的地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。
IP地址组格式填写要求:IP地址组名称(IP地址组ID),例如,ipGroup-test(96a8a93f-XXX-d7872990c314)
sg-test[96a8a93f-XXX-d7872990c314]
描述
安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-
- 单击 “导出规则”,将当前安全组规则导出为Excel文件。
