与普通安全组相比,企业安全组能够容纳更多的ECS实例、弹性网卡和私网IP地址,同时简化了安全组规则的配置策略,使用更方便。企业安全组适用于对运维效率、ECS实例规格以及计算节点规模有更高需求的场景。

功能对比

普通安全组和企业安全组的功能对比如下表所示。普通安全组详情,请参见安全组概述

功能对比 普通安全组 企业安全组
支持所有实例规格 否,实例网络类型必须是专有网络VPC。
支持专有网络VPC
支持经典网络
支持设置规则优先级
支持授权给其他安全组
支持手动设置安全组规则
安全组出方向默认策略(无安全组规则情况下) 默认允许安全组内ECS实例访问外部。 默认禁止安全组内ECS实例访问外部。
说明 在创建企业安全组时,系统会自动创建一条安全组规则,允许安全组内ECS实例访问外部。如果您需要禁止ECS实例访问外部,可以删除此规则。
支持绑定弹性网卡到任意实例规格 否,实例网络类型必须是专有网络VPC。 否,但实例网络类型必须是专有网络VPC。
能容纳的私网IP地址数量 2000 65536
默认支持同一个安全组内ECS实例互通 否,需要您单独添加安全组规则。

计费

使用企业安全组不会产生额外计费。

使用限制

企业安全组的使用限制及配额,请参见使用限制安全组章节。

除上述限制外,使用企业安全组还需满足下列要求:

  • ECS实例网络类型必须是专有网络VPC。
  • ECS实例和弹性网卡对所属的安全组类型有以下要求:
    • 一台ECS实例的主弹性网卡不能同时加入普通安全组和企业安全组。
    • 一张辅助弹性网卡不能同时加入普通安全组和企业安全组。

使用流程

您可以按以下流程使用企业安全组。
  • 企业安全组管理ECS实例使用流程-实例
  • 企业安全组管理弹性网卡使用流程-弹性网卡
注意 通过ECS控制台和API新建一个企业安全组时,出方向的安全组规则设置如下:
  • ECS控制台自动添加了默认允许所有访问。建议您保留该设置,否则可能引起网络连通性问题。
  • API没有添加任何安全组规则,默认拒绝所有访问,建议您自行添加。

控制台操作

您可以参见下表中的描述在ECS控制台上使用企业安全组。
ECS控制台使用流程 说明 相关文档
创建企业安全组 安全组类型选择企业级安全组 创建安全组
添加安全组规则 企业级安全组为白名单机制,您需要添加允许访问的规则,并且授权对象只能是IP地址段而不能是安全组。 添加安全组规则
ECS实例加入到企业安全组 一台ECS实例不能同时加入普通安全组和企业安全组。 如果ECS实例已经在普通安全组中,可通过替换安全组加入到企业安全组中。
弹性网卡加入到企业安全组 如果弹性网卡在普通安全组中,可通过修改弹性网卡加入到企业安全组中。 修改弹性网卡
将弹性网卡绑定到ECS实例 ECS实例绑定弹性网卡后,安全组规则即开始生效。 绑定弹性网卡
管理企业安全组 如添加标签、修改名称与描述、管理企业安全组内的ECS实例等。
管理企业安全组规则 在运营应用的过程中您可以根据实际需求修改安全组规则。

API操作

您可以调用以下API使用企业安全组。
API 说明
CreateSecurityGroup 将请求参数SecurityGroupType的取值设置为enterprise
说明 在创建企业安全组之前,您需要确保有可用的专有网络VPC与虚拟交换机。
AuthorizeSecurityGroup 添加一条入方向上允许访问的企业安全组规则,授权对象只能是IP地址段,不能是安全组。
企业级安全组等同于白名单,安全组规则设置如下:
  • Policy:策略设置允许访问(accept)或者拒绝访问(drop)的规则。
  • Priority:设置规则优先级。
  • IpProtocol:必须指定通信协议。
  • PortRange:通信端口区间。
  • SourcePortRange:(可选)源通信端口区间。
  • SourceCidrIp:源IP地址段。
  • DestCiderIp:(可选)目的端IP地址段。
AuthorizeSecurityGroupEgress 添加一条出方向上的企业安全组规则。
说明 建议您添加一条出方向上允许所有访问的安全组规则。
JoinSecurityGroup 将专有网络VPC类型ECS实例入企业安全组。
ModifyInstanceAttribute 如果ECS实例处于普通安全组中,通过ModifyInstanceAttribute可以切换为企业安全组。
说明 切换安全组类型后,您需要充分了解两种安全组规则的配置区别,避免影响实例网络。
ModifyNetworkInterfaceAttribute 如果弹性网卡在普通安全组中,通过ModifyNetworkInterfaceAttribute可以将弹性网卡加入到企业安全组。
AttachNetworkInterface 将已加入企业安全组的网卡挂载到ECS实例上。
DescribeSecurityGroups 查看您在当前地域下已创建的企业安全组列表。