安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能。安全组用于设置单台或多台实例的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。

安全组概述

安全组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。在创建实例的时候需要指定安全组,每个实例至少属于一个安全组。同一安全组内的实例之间默认私网网络互通,不同安全组的实例之间默认私网不通。可以授权两个安全组之间互访。

安全组限制

  • 每个账号在每个地域最多可创建100个安全组,并可以根据您的会员等级的提高而增加。如需提高上限,可以 提交工单
  • 一个实例中的每个弹性网卡默认最多可以加入5个安全组。如需提高上限,可以 提交工单,阿里云会评估您的业务量是否需要更多的安全组,评估通过后可以增加到10个或者16个安全组。
  • 安全组的网络类型分为经典网络和专有网络。

    • 经典网络类型的实例可以加入同一地域(Region)下经典网络类型的安全组。

      单个经典网络类型的安全组内的实例个数不能超过1000。如果您有超过1000个实例需要内网互访,可以将他们分配到多个安全组内,并通过互相授权的方式允许互访。

    • 专有网络类型的实例可以加入同一专有网络(VPC)下的安全组。

      单个VPC类型的安全组内的私网IP个数不能超过2000(主网卡和辅助网卡共享此配额)。如果您有超过2000个私网IP需要内网互访,可以将这些私网IP的实例分配到多个安全组内,并通过互相授权的方式允许互访。

  • 如果数据包在Outbound方向是被允许的,那么对应的此连接在Inbound方向也是允许的。

更多信息,请参见 安全组 FAQ

安全组规则

安全组规则可控制允许到达与安全组关联的实例的入站流量以及允许离开实例的出站流量。默认情况下,安全组允许所有出站流量。

您可以随时添加和取消安全组规则。您的安全组规则变更会自动应用于安全组内的ECS实例上。

当您将一个实例加入多个安全组时,系统将汇总每个安全组的规则,根据安全组规则的排序以及优先级,确定是否允许访问或被访问。

注意 在设置安全组规则的时候,安全组的规则务必简洁。如果您给一个实例分配多个安全组,则该实例可能会应用多达数百条规则。访问该实例时,可能会出现网络不通的问题。

安全组规则的限制

每个弹性网卡的安全组规则数量上限 = 该实例可加入的安全组数量 x 每个安全组最大规则数量。一个实例中的每个弹性网卡最多可以设置500条安全组规则。

  • 默认情况下,一个弹性网卡最多加入5个安全组,每个安全组100个规则,即每个安全组的入方向规则与出方向规则的总数不能超过100。
  • 每个安全组内规则数量会随网卡可加入安全组数量变化而变化,但总数不能超过100,而且不会单独计算入站规则和出站规则。
    • 如果您调整到每个弹性网卡可加入10个安全组,那么每个安全组只允许50个规则。
    • 如果您调整到每个弹性网卡可加入16个安全组,那么每个安全组只允许30个规则。

安全组和安全组规则的数量的关系如下:

当安全组数量为 则安全组规则数量的上限为(入方向和出方向共享此配额)
5个(默认值) 100条
10个(需提交工单) 50条
16个(需提交工单) 30条

相关文档

  • 默认安全组中的默认规则仅设置针对ICMP