创建安全组
操作场景
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的ECS实例提供访问策略,控制流入/流出ECS实例的流量。本文介绍创建安全组的操作。
常见的安全组应用场景包括:允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置实例的特定访问权限等。
创建ECS时必须将ECS加入一个安全组,如果此前您还未创建任何安全组,那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组,您还可以参考以下操作创建自定义安全组,并配置安全组规则控制特定流量的访问请求。了解安全组的更多信息,请参见安全组概述。
安全组预设规则说明
创建安全组的时候,您可以选择系统预设规则。安全组预设规则中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的预设规则,快速完成安全组的创建。安全组预设规则的详细说明如表1所示。
预设规则 |
方向 |
类型和协议端口 |
源地址/目的地址 |
规则说明 |
适用场景 |
---|---|---|---|---|---|
通用Web服务器 |
入方向规则 |
TCP: 22 (IPv4) |
0.0.0.0/0 |
针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的SSH(22)端口,用于远程登录Linux实例。 |
|
TCP: 3389 (IPv4) |
0.0.0.0/0 |
针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的RDP(3389)端口,用于远程登录Windows实例。 |
|||
TCP: 80 (IPv4) |
0.0.0.0/0 |
针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTP(80)端口,用于通过HTTP协议访问网站。 |
|||
TCP: 443 (IPv4) |
0.0.0.0/0 |
针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTPS(443)端口,用于通过HTTPS协议访问网站。 |
|||
ICMP: 全部 (IPv4) |
0.0.0.0/0 |
针对ICMP(IPv4)协议,允许外部所有IP访问安全组内实例的所有端口,用于外部使用ping命令验证安全组内实例的网络连通性。 |
|||
全部 (IPv4) |
当前安全组 |
针对全部协议,允许安全组内实例通过内网网络相互通信。 |
|||
全部 (IPv6) |
|||||
出方向规则 |
全部 (IPv4) |
0.0.0.0/0 |
针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。 |
||
全部 (IPv6) |
::/0 |
||||
开放全部端口 |
入方向规则 |
全部 (IPv4) |
0.0.0.0/0 |
针对全部协议,允许外部所有IP访问安全组内实例的所有端口,即任意流量可流入安全组内实例。 |
开放全部端口即允许任意流量出入安全组内的实例,此操作存在一定安全风险,请您谨慎选择。 |
全部 (IPv6) |
::/0 |
||||
全部 (IPv4) |
当前安全组 |
针对全部协议,允许安全组内实例通过内网网络相互通信。 |
|||
全部 (IPv6) |
|||||
出方向规则 |
全部 (IPv4) |
0.0.0.0/0 |
针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。 |
||
全部 (IPv6) |
::/0 |
||||
自定义 |
入方向规则 |
全部 (IPv4) |
当前安全组 |
针对全部协议,允许安全组内实例通过内网网络相互通信。 |
该预设规则的入方向未放通任何端口,即外部任意流量均无法流入安全组内实例。请您根据业务需求自行添加安全组规则。 |
全部 (IPv6) |
|||||
出方向规则 |
全部 (IPv4) |
0.0.0.0/0 |
针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。 |
||
全部 (IPv6) |
::/0 |
操作步骤
- 登录管理控制台,进入弹性云服务器的安全组列表页面。
- 在安全组列表右上方,单击“创建安全组”。
- 根据界面提示,配置安全组基本信息。
图1 配置基本信息
表2 基本信息参数说明 参数
参数说明
取值样例
区域
必选参数。
不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。
安全组和实例必须位于同一个区域内,才可以将实例添加到安全组内。
华东-上海一
名称
必选参数。
安全组的名称。要求如下:- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
说明:安全组名称创建后可以修改,建议不要重名。
sg-AB
企业项目
必选参数。
创建安全组时,可以将安全组加入已启用的企业项目。
企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。
关于创建和管理企业项目的详情,请参见《企业管理用户指南》。
default
标签
可选参数。
您可以在创建安全组的时候为安全组绑定标签,标签用于标识安全组资源,可通过标签实现对安全组资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
“标签键”:test
“标签值”:01
描述
可选参数。
安全组的描述信息。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-
- 根据界面提示,配置安全组规则。
- 选择预设规则
图2 配置规则
表3 配置规则参数说明 参数
参数说明
取值样例
预设规则
必选参数。
支持三种预设规则,预先配置了不同的入方向和出方向规则,方便您快速完成安全组的创建。
- 通用Web服务器:默认配置放通22、3389、80、443端口和ICMP协议。
- 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。
- 自定义:未放通任何端口,需要用户自定义安全组规则。
安全组预设规则的详细说明和适用场景,具体请参见表1。
通用Web服务器
- 修改安全组规则
- 选择预设规则
- 规则设置完成后,单击“立即创建”,完成创建。
- 进入弹性云服务器的安全组列表页面,单击安全组名称,查看安全组详细信息。