安全组

概述

安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于在云端划分安全域。您可以通过配置安全组规则，允许或禁止安全组内的 ECS 实例对公网或私网的访问。

安全组是一个逻辑上的分组，这个分组是由同一个地域（Region）内具有相同安全保护需求并相互信任的实例组成。每个 ECS 实例至少属于一个安全组，在创建的时就需要指定。同一安全组内的实例之间网络互通，不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。

更多关于安全组的介绍，参见 安全组。

导入与添加安全组

您可以通过添加或导入安全组将安全组与工作空间绑定，绑定后该安全组内的所有资源自动属于该工作空间。

前提条件

如果您要创建专有网络 VPC 类型安全组，请确认您已经有可用的专有网络 VPC 和虚拟交换机。更多详情，请参见 创建专有网络。

导入安全组

1. 进入资源管理控制台，点击左侧导航栏中的 计算和网络 > 安全组。

2. 点击 导入。

3. 在弹出的对话框中，勾选要导入的安全组，点击 确定。

   说明：

   • 一个安全组只能属于一个工作空间。弹出框中列出了该租户下所有的安全组列表，已经属于某个工作空间的安全组将不能勾选和导入。
   • VPC 网络下，只能导入同一工作空间中创建的安全组，不同工作空间中的安全组无法导入。

添加安全组

1. 进入资源管理控制台，点击左侧导航栏中的 计算和网络 > 安全组。

2. 点击 添加。

3. 在弹出的 添加安全组 对话框中，按页面提示要求输入 名称 与 描述（可选），点击 确定。

编辑安全组

创建完安全组后，您可以编辑安全组的名称和描述。

操作步骤

1. 进入资源管理控制台，点击左侧导航栏中的 计算和网络 > 安全组。

2. 找到目标安全组，点击右侧 操作 栏中的 编辑。

3. 安全组的名称和描述进入可修改状态，修改后点击 保存。

删除与移出安全组

若您的业务已经不再需要一个或多个安全组，您可以删除或移出安全组。

前提条件

待删除或移出的安全组内不存在 ECS 实例。如果安全组内有 ECS 实例，您需要将实例移出安全组。

删除安全组

1. 进入资源管理控制台，点击左侧导航栏中的 计算和网络 > 安全组。

2. 找到要删除的安全组，点击右侧 操作 栏中的 删除。在弹出框中点击 确定。

   安全组删除后，组内所有安全组规则同时被删除。

移出安全组

1. 进入资源管理控制台，点击左侧导航栏中的 计算和网络 > 安全组。

2. 找到要删除的安全组，点击右侧 操作 栏中的 移出。在弹出框中点击 确定。

   移出的安全组不会被删除，还可以通过导入的方式加入到工作空间中。

添加安全组规则

您可以通过添加安全组规则，允许或禁止安全组内的 ECS 实例对公网或私网的访问。

前提条件

已创建安全组。

操作步骤

1. 进入资源管理控制台，点击左侧导航栏中的 计算和网络 > 安全组。

2. 找到目标的安全组，点击右侧 操作 栏中的 规则管理。

3. 点击 添加，在弹出对话框中进行规则配置后，点击 确定。

   • 网卡类型：VPC 网络下的安全组，仅支持 内网 网卡，经典网络下的安全组，可以设置 内网 或 公网 网卡。
   • 规则方向：
     • 出方向：是指 ECS 实例访问内网中其他 ECS 实例或者公网上的资源。
     • 入方向：是指内网中的其他 ECS 实例或公网上的资源访问 ECS 实例。
   • 授权策略：
     • 允许：放行该端口相应的访问请求。
     • 拒绝：直接丢弃数据包，不会返回任何回应信息。如果两个安全组规则其他都相同只有授权策略不同，则拒绝授权生效，允许策略不生效。
   • 协议类型：TCP、UDP、GRE、ICMP、全部。端口范围和协议类型的关系，参考 添加安全组规则。
   • 端口范围：-1/-1，表示不限制端口。
   • 授权类型：安全组访问、地址段访问。授权类型和授权对象的关系，参考 添加安全组规则。
   • 授权对象：支持格式如 10.15.6.8/12 或 10.15.6.18。多个用 , 隔开。0.0.0.0/0 表示所有 IP，请谨慎设置。
   • 优先级：取值范围为 1 ~ 100。优先级数值越小，优先级越高。

删除安全组规则

如果您不再需要某个安全组规则，可以删除安全组规则。

前提条件

• 已创建安全组。
• 已 添加安全组规则。

操作步骤

1. 进入资源管理控制台，点击左侧导航栏中的 计算和网络 > 安全组。

2. 找到目标的安全组，点击右侧 操作 栏中的 规则管理。

3. 选择对应的规则类型，找到要删除的规则，点击右侧 操作 栏中的 删除， 在弹出框中点击 确定。