Flexus L实例安全组概述
安全组
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。
您在创建Flexus L实例时,系统会自动为您创建默认安全组(sg-default-smb)并关联至该实例。除了默认安全组,您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组,多个安全组按照优先级顺序依次匹配流量。
- 安全组sg-default-smb的入方向存在一条放通ICMP端口的自定义规则,因此可以通过个人PC (计算机)ping通L实例。但是安全组内未包含允许外部访问安全组内实例的SSH(22)端口或RDP(3389)端口的规则,因此您无法通过个人PC远程登录L实例。
- 当L实例需要通过EIP访问公网时,由于安全组sg-default-smb的出方向规则允许所有流量从实例流出,因此L实例可以访问公网。
更多关于安全组的信息,请参见安全组文档。
安全组规则
- 入方向规则:控制外部请求访问安全组内的实例,即流量流入实例。
- 出方向规则:控制安全组内实例访问外部的请求,即流量从实例流出。
|
关键参数 |
描述 |
|---|---|
|
优先级 |
优先级可选范围为1-100,数字越小,规则优先级级别越高。安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略。 |
|
策略 |
支持允许或拒绝。当流量的协议、端口、源地址/目的地址成功匹配某个安全组规则后,会对流量执行规则对应的策略,允许或拒绝流量。 |
|
类型 |
支持设置IPv4和IPv6协议的规则。 |
|
协议端口 |
包括网络协议类型和端口范围。
|
|
源地址或目的地址 |
在入方向中,匹配流量的源地址。在出方向中,匹配流量的目的地址。 您可以使用IP地址、安全组、IP地址组作为源地址或者目的地址。
|
Flexus L实例默认安全组(sg-default-smb)入方向默认只允许安全组内实例互通,拒绝来自安全组外部的所有请求进入实例;出方向默认端口全放通,允许所有请求从安全组内实例流出。Flexus L实例默认安全组规则详见默认安全组和规则。您也可以自定义添加安全组规则,具体操作请参见配置Flexus L实例安全组规则。
|
规则方向 |
策略 |
类型 |
协议端口 |
源地址/目的地址 |
描述 |
|---|---|---|---|---|---|
|
入方向规则 |
允许 |
IPv4 |
全部 |
源地址:sg-default-smb |
针对全部IPv4协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。 |
|
入方向规则 |
允许 |
IPv6 |
全部 |
针对全部IPv6协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。 |
|
|
出方向规则 |
允许 |
IPv4 |
全部 |
目的地址:0.0.0.0/0 |
针对全部IPv4协议,允许安全组内的实例可访问外部IP的所有端口。 |
|
出方向规则 |
允许 |
IPv6 |
全部 |
目的地址:::/0 |
针对全部IPv6协议,允许安全组内的实例可访问外部IP的所有端口。 |
入方向规则的源地址设置为0.0.0.0/0或::/0,表示允许或拒绝所有外部IP地址访问您的实例,如果将“22、3389、8848”等高危端口暴露到公网,可能导致网络入侵,造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。
安全组的限制
- 默认情况下,一个用户可以创建100个安全组。
- 默认情况下,一个安全组最多只允许拥有50条安全组规则。
- 为了更好的网络性能,一个云服务器或辅助网卡建议您选择不多于5个安全组。
- 安全组添加实例时,一次最多可添加20个实例。
- 一个安全组最多允许关联1000个实例。
