更新时间:2024-09-02 GMT+08:00

导入/导出安全组规则

操作场景

您可以在Excel格式文件中填写安全组规则参数,并将规则导入到安全组内。同时,您可以将已有安全组的规则导出至Excel格式文件中。

当您遇到如下场景时,推荐您使用导入和导出安全组功能。

  • 本地备份安全组规则:如果您想在本地备份安全组规则,可以导出安全组内的规则,将安全组的出方向、入方向规则信息导出为Excel格式文件。
  • 快速创建和恢复安全组规则:如果您想快速创建或恢复安全组规则,可以将安全组规则文件导入到已有安全组中。
  • 快速迁移安全组规则:将某个安全组的规则快速应用到其他安全组。
  • 批量修改安全组规则:将当前安全组的规则导出后,在Excel文件批量修改完成后,重新导入即可。

约束与限制

  • 导入安全组规则时,请根据格式要求填写要求的参数,不能新增参数或者修改已有参数名称,否则会导入失败。
  • 导入安全组规则时,当源地址/目的地址设置为安全组或者IP地址组时,请务必填写正确的ID信息,否则会导入失败。
  • 当本次导入的安全组规则与安全组内已有规则重复,或者本次导入的安全组规则存在重复,系统将会自动忽略掉重复规则,不影响您执行导入操作。如表1所示,规则A、规则B以及规则C均为重复规则。
    • 规则A和规则B:规则的方向、策略、类型、协议端口、源地址/目的地址均相同,优先级不同时,为重复规则。
    • 规则A和规则C:规则的方向、优先级、策略、类型、协议端口、源地址/目的地址均相同时,为重复规则。
    表1 规则重复示例

    规则

    方向

    优先级

    策略

    类型

    协议端口

    目的地址

    规则A

    入方向

    1

    允许

    IPv4

    TCP:22

    0.0.0.0/0

    规则B

    入方向

    5

    允许

    IPv4

    TCP:22

    0.0.0.0/0

    规则C

    入方向

    1

    允许

    IPv4

    TCP:22

    0.0.0.0/0

  • 对于同一个方向的安全组规则,当类型、协议端口、源地址/目的地址均相同时,不允许这两条规则的策略相反,即不能规则A设置为允许,规则B设置为拒绝,示例如表2所示。
    • 当表格中的规则与安全组内已有规则的策略冲突时,安全组会导入失败,请根据界面提示排查修改。
    • 当表格中的规则策略冲突时,安全组会导入失败,请根据界面提示排查修改。
    表2 规则策略相反示例

    规则

    方向

    优先级

    策略

    类型

    协议端口

    目的地址

    规则A

    入方向

    1

    允许

    IPv4

    TCP:22

    0.0.0.0/0

    规则B

    入方向

    5

    拒绝

    IPv4

    TCP:22

    0.0.0.0/0

  • 当您在同一个账号内,跨区域导入安全组规则时,即将区域A的安全组规则导入到区域B时,不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。
  • 当您跨账号导入安全组规则时,即将账号A的安全组规则导入到账号B时,不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域和项目。
  3. 在页面左上角单击图标,打开服务列表,选择“网络 > 虚拟私有云”。

    进入虚拟私有云列表页面。

  4. 在左侧导航栏,选择“访问控制 > 安全组”。

    进入安全组列表页面。

  5. 在安全组列表页面,单击目标安全组名称。

    进入安全组详情页面。

  6. 导出/导入安全组规则。
    • 单击 “导出规则”,将当前安全组规则导出为Excel文件。
    • 单击 “导入规则”,将Excel文件中的安全组规则导入到当前安全组。
      导入模板中所涉及参数如表3所示。
      表3 导入模板参数说明

      参数

      说明

      取值样例

      方向

      安全组规则的方向:
      • 入方向:入方向指外部访问安全组内的实例。
      • 出方向:出方向指安全组内的实例访问外部。

      入方向

      优先级

      优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

      1

      策略

      安全组规则策略,支持的策略如下:
      • 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
      • 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。

      安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序

      允许

      协议端口

      安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。

      TCP

      安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

      在入方向规则中,表示外部访问安全组内实例的指定端口。

      在出方向规则中,表示安全组内实例访问外部地址的指定端口。

      22或22-30

      类型

      源地址支持的IP地址类型,如下:
      • IPv4
      • IPv6

      IPv4

      源地址

      源地址是入方向规则中,用来匹配外部请求的地址,支持以下格式:
      • IP地址:表示源地址为某个固定的IP地址。
        • 单个IP地址:IP地址/掩码。

          单个IPv4地址示例为192.168.10.10/32。

          单个IPv6地址示例为2002:50::44/128。

        • IP网段:IP地址/掩码。

          IPv4网段示例为192.168.52.0/24。

          IPv6网段示例为2407:c080:802:469::/64。

        • 所有IP地址:

          0.0.0.0/0表示匹配所有IPv4地址。

          ::/0表示匹配所有IPv6地址。

      • 安全组:表示源地址为另外一个安全组,您可以选择当前账号下,同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A设置入方向规则时的“策略”为允许,源地址选择安全组B时,表示来自实例b的内网访问请求被允许进入实例a。

        安全组格式填写要求:安全组名称(安全组ID),例如,sg-test(96a8a93f-XXX-d7872990c314)

      • IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。

        IP地址组格式填写要求:IP地址组名称(IP地址组ID),例如,ipGroup-test(96a8a93f-XXX-d7872990c314)

      sg-test[96a8a93f-XXX-d7872990c314]

      目的地址

      目的地址是出方向规则中,用来匹配内部请求的地址,支持以下格式:
      • IP地址:表示目的地址为某个固定的IP地址。
        • 单个IP地址:IP地址/掩码。

          单个IPv4地址示例为192.168.10.10/32。

          单个IPv6地址示例为2002:50::44/128。

        • IP网段:IP地址/掩码。

          IPv4网段示例为192.168.52.0/24。

          IPv6网段示例为2407:c080:802:469::/64。

        • 所有IP地址:

          0.0.0.0/0表示匹配所有IPv4地址。

          ::/0表示匹配所有IPv6地址。

      • 安全组:表示目的地址为另外一个安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A设置出方向规则时的“策略”为允许,目的地址选择安全组B时,表示实例a内部的请求被允许出去访问实例b。

        安全组格式填写要求:安全组名称(安全组ID),例如,sg-test(96a8a93f-XXX-d7872990c314)

      • IP地址组:表示目的地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。

        IP地址组格式填写要求:IP地址组名称(IP地址组ID),例如,ipGroup-test(96a8a93f-XXX-d7872990c314)

      sg-test[96a8a93f-XXX-d7872990c314]

      描述

      安全组规则的描述信息,非必填项。

      描述信息内容不能超过255个字符,且不能包含“<”和“>”。

      -

      修改时间

      安全组的修改时间。

      -