导入/导出安全组规则
操作场景
您可以在Excel格式文件中填写安全组规则参数,并将规则导入到安全组内。同时,您可以将已有安全组的规则导出至Excel格式文件中。
当您遇到如下场景时,推荐您使用导入和导出安全组功能。
- 本地备份安全组规则:如果您想在本地备份安全组规则,可以导出安全组内的规则,将安全组的出方向、入方向规则信息导出为Excel格式文件。
- 快速创建和恢复安全组规则:如果您想快速创建或恢复安全组规则,可以将安全组规则文件导入到已有安全组中。
- 快速迁移安全组规则:将某个安全组的规则快速应用到其他安全组。
- 批量修改安全组规则:将当前安全组的规则导出后,在Excel文件批量修改完成后,重新导入即可。
约束与限制
- 导入安全组规则时,请根据格式要求填写要求的参数,不能新增参数或者修改已有参数名称,否则会导入失败。
- 导入安全组规则时,当源地址/目的地址设置为安全组或者IP地址组时,请务必填写正确的ID信息,否则会导入失败。
- 当本次导入的安全组规则与安全组内已有规则重复,或者本次导入的安全组规则存在重复,系统将会自动忽略掉重复规则,不影响您执行导入操作。如表1所示,规则A、规则B以及规则C均为重复规则。
- 规则A和规则B:规则的方向、策略、类型、协议端口、源地址/目的地址均相同,优先级不同时,为重复规则。
- 规则A和规则C:规则的方向、优先级、策略、类型、协议端口、源地址/目的地址均相同时,为重复规则。
- 对于同一个方向的安全组规则,当类型、协议端口、源地址/目的地址均相同时,不允许这两条规则的策略相反,即不能规则A设置为允许,规则B设置为拒绝,示例如表2所示。
- 当表格中的规则与安全组内已有规则的策略冲突时,安全组会导入失败,请根据界面提示排查修改。
- 当表格中的规则策略冲突时,安全组会导入失败,请根据界面提示排查修改。
- 当您在同一个账号内,跨区域导入安全组规则时,即将区域A的安全组规则导入到区域B时,不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。
- 当您跨账号导入安全组规则时,即将账号A的安全组规则导入到账号B时,不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击,选择区域和项目。
- 在页面左上角单击图标,打开服务列表,选择“网络 > 虚拟私有云”。
进入虚拟私有云列表页面。
- 在左侧导航栏,选择“访问控制 > 安全组”。
- 在安全组列表页面,单击目标安全组名称。
- 导出/导入安全组规则。
- 单击 “导出规则”,将当前安全组规则导出为Excel文件。
- 单击 “导入规则”,将Excel文件中的安全组规则导入到当前安全组。
导入模板中所涉及参数如表3所示。
表3 导入模板参数说明 参数
说明
取值样例
方向
安全组规则的方向:- 入方向:入方向指外部访问安全组内的实例。
- 出方向:出方向指安全组内的实例访问外部。
入方向
优先级
优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
1
策略
安全组规则策略,支持的策略如下:- 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
- 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。
安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序。
允许
协议端口
安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。
TCP
安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。
在入方向规则中,表示外部访问安全组内实例的指定端口。
在出方向规则中,表示安全组内实例访问外部地址的指定端口。
端口填写支持下格式:- 单个端口:例如22
- 连续端口:例如22-30
- 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
- 全部端口:为空或1-65535
22或22-30或20,22-30
类型
源地址支持的IP地址类型,如下:- IPv4
- IPv6
IPv4
源地址
源地址是入方向规则中,用来匹配外部请求的地址,支持以下格式:- IP地址:表示源地址为某个固定的IP地址。
- 安全组:表示源地址为另外一个安全组,您可以选择当前账号下,同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A设置入方向规则时的“策略”为允许,源地址选择安全组B时,表示来自实例b的内网访问请求被允许进入实例a。
安全组格式填写要求:安全组名称(安全组ID),例如,sg-test(96a8a93f-XXX-d7872990c314)
- IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。
IP地址组格式填写要求:IP地址组名称(IP地址组ID),例如,ipGroup-test(96a8a93f-XXX-d7872990c314)
sg-test[96a8a93f-XXX-d7872990c314]
目的地址
目的地址是出方向规则中,用来匹配内部请求的地址,支持以下格式:- IP地址:表示目的地址为某个固定的IP地址。
- 安全组:表示目的地址为另外一个安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A设置出方向规则时的“策略”为允许,目的地址选择安全组B时,表示实例a内部的请求被允许出去访问实例b。
安全组格式填写要求:安全组名称(安全组ID),例如,sg-test(96a8a93f-XXX-d7872990c314)
- IP地址组:表示目的地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。
IP地址组格式填写要求:IP地址组名称(IP地址组ID),例如,ipGroup-test(96a8a93f-XXX-d7872990c314)
sg-test[96a8a93f-XXX-d7872990c314]
描述
安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-
修改时间
安全组的修改时间。
-