虚拟私有云 VPC虚拟私有云 VPC

更新时间:2021/06/24 GMT+08:00
分享

添加安全组规则

操作场景

安全组创建后,您可以在安全组中设置出方向、入方向规则,这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制,当云服务器加入该安全组后,即受到这些访问规则的保护。

  • 入方向:指从外部访问安全组规则下的弹性云服务器。
  • 出方向:指安全组规则下的弹性云服务器访问安全组外的实例。

默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例

前提条件

  • 已有创建的安全组。创建安全组请参见创建安全组
  • 已规划好云服务器等实例需要允许或禁止哪些公网或内网的访问。更多有关安全组规则设置的应用示例,请参见安全组配置示例

约束与限制

安全组规则目前仅在“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持拒绝策略、不连续端口号、配置优先级。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域和项目。
  3. 在系统首页,选择“网络 > 虚拟私有云”。
  4. 在左侧导航树选择“访问控制 > 安全组”。
  5. 在安全组界面,单击操作列的“配置规则”,进入安全组详情界面。
  6. 在入方向规则页签,单击“添加规则”,添加入方向规则。
    单击“+”可以依次增加多条入方向规则。
    图1 添加入方向规则
    表1 入方向参数说明

    参数

    说明

    取值样例

    优先级

    安全组规则优先级。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略

    安全组规则策略。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。
    • 允许:允许该入方向规则访问安全组内云服务器。
    • 拒绝:拒绝该入方向规则访问安全组内云服务器。

    允许

    协议端口

    网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。

    TCP

    端口:允许远端地址访问弹性云服务器指定端口,取值范围为:1~65535。常用端口请参见弹性云服务器常用端口

    端口填写包括以下形式:
    • 单个端口:例如22
    • 连续端口:例如22-30
    • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。
    • 全部端口:为空或1-65535

    22或22-30或20,22-30

    类型

    IP地址类型。开通IPv6功能后可见。
    • IPv4
    • IPv6

    IPv4

    源地址

    源地址:可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如:
    • 单个IP地址:192.168.10.10/32(IPv4地址);2002:50::44/127(IPv6地址)
    • IP地址段:192.168.1.0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)
    • 所有IP地址:0.0.0.0/0(IPv4任意地址);::/0(IPv6任意地址)
    • 安全组:sg-abc
    • IP地址组:ipGroup-test

    更多IP地址组信息,请参见IP地址组

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  7. 在出方向规则页签,单击“添加规则”,添加出方向规则。
    单击“+”可以依次增加多条出方向规则。
    图2 添加出方向规则
    表2 出方向参数说明

    参数

    说明

    取值样例

    优先级

    安全组规则优先级。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略

    安全组规则策略。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。
    • 允许:允许安全组内的服务器按照该出方向规则进行出网访问
    • 拒绝:拒绝安全组内的服务器按照该出方向规则进行出网访问。

    允许

    协议端口

    网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。

    TCP

    端口:允许弹性云服务器访问远端地址的指定端口,取值范围为:1~65535。常用端口请参见弹性云服务器常用端口

    端口填写包括以下形式:
    • 单个端口:例如22
    • 连续端口:例如22-30
    • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。目前仅“华东-上海一”、“华南-广州”、“西南-贵阳一”、“华北-北京四”、“亚太-香港”、“亚太-新加坡”支持。
    • 全部端口:为空或1-65535

    22或22-30或20,22-30

    类型

    IP地址类型。开通IPv6功能后可见。
    • IPv4
    • IPv6

    IPv4

    目的地址

    目的地址:可以是IP地址、安全组、IP地址组。允许访问目的IP地址或另一安全组内的实例。例如:
    • 单个IP地址:192.168.10.10/32(IPv4地址);2002:50::44/127(IPv6地址)
    • IP地址段:192.168.1.0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)
    • 所有IP地址:0.0.0.0/0(IPv4任意地址);::/0(IPv6任意地址)
    • 安全组:sg-abc
    • IP地址组:ipGroup-test

    更多IP地址组信息,请参见IP地址组

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  8. 单击“确定”。

结果验证

安全组规则配置完成后,我们需要验证对应的规则是否生效。假设您在弹性云服务器上部署了网站,希望用户能通过TCP(80端口)访问到您的网站,您添加了一条入方向规则,如表3所示。

表3 安全组规则

方向

协议/应用

端口

源地址

入方向

TCP

80

0.0.0.0/0

Linux弹性云服务器

Linux弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

  1. 登录弹性云服务器。
  2. 运行如下命令查看TCP 80端口是否被监听。
    netstat -an | grep 80

    如果返回结果如图3所示,说明TCP 80端口已开通。

    图3 Linux TCP 80端口验证结果
  3. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。

Windows弹性云服务器

Windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

  1. 登录弹性云服务器。
  2. 选择“开始 > 附件 > 命令提示符”。
  3. 运行如下命令查看TCP 80端口是否被监听。
    netstat -an | findstr 80

    如果返回结果如图4所示,说明TCP 80端口已开通。

    图4 Windows TCP 80端口验证结果
  4. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。

相关操作

一键放通

一键放通功能适用于无需设置ICMP协议规则,并通过22,3389,ICMP,80,443,20,21端口便能完成操作的场景。

图5 一键放通

安全组规则相关常见问题

分享:

    相关文档

    相关产品