更新时间:2024-08-21 GMT+08:00
安全组概述
安全组
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。
您也可以根据需要创建自定义的安全组,或使用默认安全组,系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。默认安全组您可以直接使用,详情请参见默认安全组和规则。
安全组规则
安全组创建后,您可以在安全组中设置出方向、入方向规则,这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制,当云服务器加入该安全组后,即受到这些访问规则的保护。
安全组的使用限制
- 为了确保良好的网络性能体验,建议一个实例最多关联5个安全组。
- 建议一个安全组关联的实例数量不应超过6000个,否则会引起安全组性能下降。
- 在一个安全组中,对于入方向规则来说,源地址是安全组的规则数量+源地址是IP地址组的规则数量+端口是不连续端口号的规则数量 ≤ 120条,否则超过数量的安全组规则将不生效。当同时存在IPv4和IPv6类型的安全组规则时,两种类型的安全组规则单独计算,即IPv4规则和IPv6规则可以各有120条。
以安全组Sg-A的入方向IPv4规则为例,表1中提供了部分符合限制条件的规则供您参考。其中,当一条安全组规则同时符合多个限制时,比如规则A02即使用了不连续端口,又使用了安全组作为源地址,此时只占用一条配额。
- 如果您添加安全组规则时,使用IP地址组或者不连续端口,那么该安全组规则对不同规格云服务器的生效情况存在差异,为了避免您的安全组规则不生效,请您查看表2了解详情。
表2 安全组规则限制 安全组规则
云服务器类型
添加安全组规则时,“源地址”和“目的地址”可选择“IP地址组”
不支持的X86云服务器规格如下:- 通用计算型(S1型、C1型、C2型 )
- 内存优化型(M1型)
- 高性能计算型(H1型)
- 磁盘增强型( D1型)
- GPU加速型(G1型、G2型)
- 超大内存型(E1型、E2型、ET2型)
添加安全组规则时,“协议端口”可配置为不连续端口号
不支持的X86云服务器规格如下:
- 通用计算型(S1型、C1型、C2型 )
- 内存优化型(M1型)
- 高性能计算型(H1型)
- 磁盘增强型( D1型)
- GPU加速型(G1型、G2型)
- 超大内存型(E1型、E2型、ET2型)
所有鲲鹏云服务器规格不支持配置不连续端口。
如果您在鲲鹏云服务器中添加安全组规则时,使用了不连续端口号,那么除了该条规则不会生效,该规则后的其他规则也不会生效。比如:
您先配置了安全组规则A(不连续端口号22,24),再配置了下一条安全组规则B(独立端口号9096),则安全组规则A和B均不会生效。
- 当您的组网中存在以下情况时,来自ELB和VPCEP的流量不受网络ACL和安全组规则的限制。
