添加安全组规则

操作场景

安全组的默认规则是在出方向上的数据报文全部放行，安全组内的裸金属服务器无需添加规则即可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当裸金属服务器加入该安全组后，即受到这些访问规则的保护。

在创建裸金属服务器时只能添加一个安全组。裸金属服务器创建完成后，可以在详情页面修改每个网卡对应的安全组。

使用建议

• 为BMS实例添加安全组规则时遵循最小授权原则。例如：
  • 选择开放具体的端口，而不是端口范围，如80端口。
  • 谨慎授权0.0.0.0/0（全网段）源地址。
• 不建议使用一个安全组管理所有应用，不同的分层一定有不同的隔离诉求。
• 不建议为每台BMS实例单独设置一个安全组，您可以将具有相同安全保护需求的实例加入同一个安全组。
• 建议您设置简洁的安全组规则。例如，如果您给一台BMS实例分配了多个安全组，该实例可能会同时遵循数百条安全组规则，任何一个规则变更都可能引起网络不通的故障。

操作步骤

1. 登录管理控制台。
2. 选择“计算 > 裸金属服务器”。

   进入裸金属服务器页面。

3. 在裸金属服务器列表，单击待变更安全组规则的裸金属服务器名称。

   系统跳转至该裸金属服务器详情页面。

4. 选择“安全组”页签，并单击，查看安全组规则。
5. 单击安全组ID。

   系统自动跳转至安全组页面。

6. 单击操作列的“配置规则”，在安全组详情页根据安全组规则生效的方向添加规则，相关参数说明如表1所示。

   安全组规则生效的方向包括入方向和出方向：入方向指从外表进入安全组的流量，出方向指从安全组内出去的流量。

   表1 参数说明

   参数	说明
   优先级	安全组规则优先级。 优先级可选范围为1-100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。
   策略	安全组规则策略。 允许：允许安全组内的服务器按照该出方向规则进行出网访问 拒绝：拒绝安全组内的服务器按照该出方向规则进行出网访问。 优先级相同的情况下，拒绝策略优先于允许策略。
   协议	网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。
   端口	规则的端口或端口范围，取值范围为：1～65535。
   类型	IP地址类型。
   源地址	流量的源（入站规则），当方向为入方向时，需要填入此参数。 源地址可以是IP地址，也可以是安全组。
   目的地址	流量的目标（出站规则），当方向是出方向时，需要填入此参数。 目的地址可以是IP地址，也可以是安全组。
   描述	安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。

   

   源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的裸金属服务器。