更新时间:2024-07-04 GMT+08:00
分享

创建安全组

操作场景

安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成。您可以参考以下章节添加安全组规则,用来控制流入/流出安全组内实例(如ECS)的流量。

您在创建实例时(如ECS),必须将实例加入一个安全组,如果此前您还未创建任何安全组,那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组,您还可以参考以下操作创建自定义安全组,并配置安全组规则控制特定流量的访问请求。了解安全组的更多信息,请参见安全组和安全组规则概述

预设安全组规则说明

创建安全组的时候,您可以选择系统预设规则。安全组预设规则中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的预设规则,快速完成安全组的创建。安全组预设规则的详细说明如表1所示。

表1 安全组规则说明

预设规则

方向

类型和协议端口

源地址/目的地址

规则说明

适用场景

通用Web服务器

入方向规则

TCP: 22 (IPv4)

0.0.0.0/0

针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的SSH(22)端口,用于远程登录Linux实例。

  • 外部远程登录安全组内实例(如ECS)
  • 外部使用ping命令验证安全组内实例的网络连通性
  • 安全组内实例用作Web服务器对外提供网站访问服务

TCP: 3389 (IPv4)

0.0.0.0/0

针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的RDP(3389)端口,用于远程登录Windows实例。

TCP: 80 (IPv4)

0.0.0.0/0

针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTP(80)端口,用于通过HTTP协议访问网站。

TCP: 443 (IPv4)

0.0.0.0/0

针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTPS(443)端口,用于通过HTTPS协议访问网站。

ICMP: 全部 (IPv4)

0.0.0.0/0

针对ICMP(IPv4)协议,允许外部所有IP访问安全组内实例的所有端口,用于外部使用ping命令验证安全组内实例的网络连通性。

全部 (IPv4)

全部 (IPv6)

当前安全组

针对全部协议,允许安全组内实例通过内网网络相互通信。

出方向规则

全部 (IPv4)

全部 (IPv6)

0.0.0.0/0

::/0

针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

开放全部端口

入方向规则

全部 (IPv4)

全部 (IPv6)

当前安全组

针对全部协议,允许安全组内实例通过内网网络相互通信。

开放全部端口即允许任意流量出入安全组内的实例,此操作存在一定安全风险,请您谨慎选择。

全部 (IPv4)

全部 (IPv6)

0.0.0.0/0

::/0

针对全部协议,允许外部所有IP访问安全组内实例的所有端口,即任意流量可流入安全组内实例。

出方向规则

全部 (IPv4)

全部 (IPv6)

0.0.0.0/0

::/0

针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

自定义

入方向规则

全部 (IPv4)

全部 (IPv6)

当前安全组

针对全部协议,允许安全组内实例通过内网网络相互通信。

该预设规则的入方向未放通任何端口,即外部任意流量均无法流入安全组内实例。请您根据业务需求自行添加安全组规则。

出方向规则

全部 (IPv4)

全部 (IPv6)

0.0.0.0/0

::/0

针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

操作步骤

  1. 进入安全组列表页面
  2. 在安全组列表右上方,单击“创建安全组”。

    进入“创建安全组”页面。

  3. 根据界面提示,设置安全组参数。
    图1 创建安全组
    表2 参数说明

    参数

    参数说明

    取值样例

    区域

    必选参数。

    不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。

    安全组和实例必须位于同一个区域内,才可以将实例添加到安全组内。

    华东-上海一

    名称

    必选参数。

    输入安全组的名称。要求如下:
    • 长度范围为1~64位。
    • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
    说明:

    安全组名称创建后可以修改,建议不要重名。

    sg-AB

    企业项目

    必选参数。

    创建安全组时,可以将安全组加入已启用的企业项目。

    企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。

    关于创建和管理企业项目的详情,请参见《企业管理用户指南》

    default

    标签

    可选参数。

    您可以在创建安全组的时候为安全组绑定标签,标签用于标识安全组资源,可通过标签实现对安全组资源的分类和搜索。

    关于标签更详细的说明,请参见管理安全组标签

    “标签键”:test

    “标签值”:01

    描述

    可选参数。

    安全组的描述信息。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

    预设规则

    必选参数

    安全组预设规则中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的预设规则,快速完成安全组的创建。

    安全组预设规则的详细说明和适用场景,具体请参见表1

    通用Web服务器

  4. 安全组参数设置完成后,可以在创建页面下方查看预设规则,并可以执行以下操作。
    • 添加规则
    • 复制规则
    • 修改规则
    • 删除规则
      • 入方向规则的参数说明请参见表2,出方向规则的参数说明请参见表3
      • 入方向规则中,源地址为当前安全组的规则不支持修改,如果您删除该规则,将会导致安全组内实例的内网网络无法互通,请谨慎操作。
      • 出方向规则中,目的地址为0.0.0.0/0和::/0的规则不支持修改,如果您删除该规则,将会导致安全组内实例无法访问外部网络,请谨慎操作。

相关操作

为了保护云服务器的网络安全,每台云服务器至少加入一个安全组,您可以根据业务需要,将云服务器加入一个或多个安全组,体操作请参见在安全组中添加或移出实例

相关文档