管理安全组
安全组是一种虚拟防火墙,使用安全组可以帮您控制ECS实例的出入站流量,实现网络的隔离与互通等能力。本文介绍安全组的创建、查询、修改、删除等操作。
操作前须知
安全组能力概述和使用建议。具体信息,请参见安全组。
安全组分为普通安全组和企业级安全组,在安全组容量、是否支持组内互通、是否支持添加授权对象为安全组以及默认的访问控制规则等方面有一定差异。具体信息,请参见普通安全组与企业级安全组。
关于安全组的使用限制,请参见安全组使用限制。
创建安全组
在您创建ECS实例时,如果您还未创建过安全组,阿里云会为您创建一个默认安全组。如果您希望ECS实例加入自定义安全组,您可以手动创建安全组。
普通安全组的默认组内联通策略为组内互通,您可修改组内联通策略。具体信息,请参见修改普通安全组的组内连通策略。
使用ECS控制台
进入安全组页面。
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
单击创建安全组。
在基本信息区域,设置安全组的基本信息。
设置安全组名称、描述、资源组、标签等信息,方便您更好地识别您创建的安全组。
设置网络,选择经典网络或指定专有网络VPC。更多信息,请参见网络类型。
设置安全组类型,选择普通安全组或企业级安全组。更多信息,请参见普通安全组与企业级安全组。
在访问规则区域,设置安全组规则。
单击创建安全组。
创建成功后,您可以在安全组列表页中查看安全组。更多信息,请参见查询安全组。
使用API
使用CreateSecurityGroup - 创建安全组,创建安全组。
克隆安全组
您可以通过克隆安全组快速创建一个或多个安全组,且支持跨地域、跨网络类型克隆安全组。适用于在安全组规则较多时,进行跨地域复制安全组规则、安全组规则备份等场景。
如果您需要将安全组的网络类型更换为专有网络,您需要在目标地域创建至少一个可用的专有网络。具体操作,请参见创建和管理专有网络。
如下场景,您可能需要克隆安全组:
假设您已经在地域A里创建了一个安全组SG1,此时您需要对地域B里的实例使用与SG1完全相同的规则,您可以直接将SG1克隆到地域B,而不需要在地域B从零开始创建安全组。
假设您已经创建了一个适用于经典网络的安全组SG2,此时您需要对一些处于VPC网络里的实例使用与SG2完全相同的规则,您可以在克隆SG2时将网络类型改为VPC,生成一个适用于VPC网络的安全组。
如果您需要对一个线上业务执行新的安全组规则,您可以克隆原来的安全组作为备份。
克隆安全组默认只克隆此安全组以及安全组规则,不克隆与此安全组相关联的实例或者弹性网卡。
使用ECS控制台
在
页面,找到需要克隆的安全组,单击操作列中的克隆安全组。在克隆安全组对话框里,设置新安全组的信息:
目标地域:选择新安全组适用的地域。
安全组名称:设置新安全组的名称。
专有网络ID:选择新安全组的网络类型,选择经典网络或者具体的专有网络。如果没有可用的专有网络,您可以单击创建专有网络去专有网络控制台创建网络。
保留规则:选择是否保留原安全组的所有规则。如果选中,克隆安全组时会将原安全组中的所有规则克隆到新安全组中,且克隆后优先级大于100的规则将调整优先级为100。否则,将丢弃这部分规则。
描述:设置新安全组的描述信息。
复制本安全组标签到克隆安全组:选择是否需要将原安全组的标签复制到新安全组。
单击确定。
说明克隆成功后,克隆安全组对话框会自动关闭。您可以在目标地域的安全组列表中看到克隆的新安全组。
克隆安全组成功后,您可能需要进行以下操作:
将云资源(ECS实例,弹性网卡)加入新的安全组中。具体操作,请参见安全组关联资源管理。
根据实际需求,修改新安全组的规则或连通策略,以确保安全组适应新的网络环境和安全策略。具体操作,请参见修改安全组规则和修改普通安全组的组内连通策略。
修改安全组
创建安全组后,您可以根据需要随时修改安全组的名称、描述信息和标签信息,以便更方便地识别特定的安全组。
使用ECS控制台
在
页面,找到需要修改的安全组,修改如下信息。修改名称和描述
分别在安全组ID/名称列和描述列将鼠标悬浮至名称和描述处,然后单击图标。
在弹出的对话框中,修改对应信息,然后单击确定。
说明安全组名称:长度为2~128个字符,不能以特殊字符及数字开头,只可包含特殊字符中的点号(.)、下划线(_)、连字符(-)和半角冒号(:)。
描述:长度为2~256个字符,不能以http://或https://开头。
编辑标签信息
标签用于标识具有相同特征的资源,例如所属组织相同或用途相同的安全组,您可以基于标签方便地检索和管理资源。更多信息,请参见标签。
根据实际情况,按照如下方式修改标签。
如果安全组尚未绑定标签,在标签列将鼠标悬浮至图标,然后单击绑定。
如果安全组已经绑定了标签,在标签列将鼠标悬浮至图标,然后单击编辑。
在编辑标签对话框,选择已有标签或输入新的标签,然后单击确认。
说明绑定标签后,您可以基于标签筛选安全组并完成各种管理动作,例如将ECS实例加入某类安全组、为某类安全组添加安全组规则等。
使用API
使用ModifySecurityGroupAttribute - 修改安全组的名称或者描述,修改安全组的名称和描述信息。
查询安全组
创建安全组后,您可以通过安全组名称、安全组ID或者专有网络ID查询相关安全组。
使用ECS控制台
在
页面,输入待查询的安全组名称、安全组ID或专有网络ID并单击图标,通过智能匹配查询相关安全组。您也可以选择安全组名称或安全组ID进行精确查询,或选择专有网络ID查询该专有网络下的所有安全组。
使用API
使用DescribeSecurityGroups - 查询安全组基本信息列表,查询安全组信息。
删除安全组
如果您的业务已经不再需要某个安全组,您可以删除这个安全组。安全组删除后,组内所有安全组规则将被删除。
安全组存在以下情况时,会删除失败:
在安全组内有ECS实例或弹性网卡时,不能删除。您需要先将实例或者弹性网卡移出安全组,再删除安全组。具体操作,请参见管理安全组与ECS实例和管理安全组与弹性网卡。
在安全组被其他安全组的规则作为授权对象时,不能删除。您需要先删除相应的授权规则,再删除安全组。具体操作,请参见删除安全组规则。
安全组已开启删除保护功能。
在您使用DeleteSecurityGroup接口删除安全组时返回错误码
InvalidOperation.DeletionProtection
,或使用控制台删除安全组看到类似删除保护的提示时,说明该安全组开启了删除保护功能。在您创建ACK集群时,关联的安全组会开启删除保护功能,来防止误删除。删除保护功能无法手动关闭,只有在删除了关联的ACK集群后,才能够自动关闭。更多信息,请参见关闭安全组删除保护。
使用ECS控制台
在
页面,通过如下两种方式删除安全组。删除单个安全组:找到待删除的安全组,然后单击操作列中的删除。
批量删除安全组:选中一个或多个安全组,在页面底部单击批量删除。
在删除安全组对话框中,确认信息后,单击确定。
如果您确定安全组没有关联的ECS实例和弹性网卡,在删除安全组对话框中仍提示不可删除时,可以单击尝试强制删除。
使用API
使用DeleteSecurityGroup - 删除安全组,删除安全组。
安全组常见问题与最佳实践
关于安全组配置、安全组规则设定、无法访问ECS实例、主机处罚与解禁流程、资源限额管理等常见问题,请参见安全FAQ。
关于协议类型和端口范围的问题,请参见常用端口、修改服务器默认远程端口。
将云资源(ECS实例,弹性网卡)加入新的安全组,请参见安全组与ECS实例关联的管理、安全组与弹性网卡关联的管理。
根据业务需要,如果需要修改安全组的组内连通策略,请参见修改普通安全组的组内连通策略。
您可通过OOS管理控制台批量修改云资源绑定标签的标签值,请参见使用OOS批量修改标签值。
安全组规则配置最佳实践与应用案例:
如果服务器开启了防火墙,并设置了屏蔽外界访问的规则,那么在远程访问该服务器时,可能会导致访问失败。开启和关闭系统防火墙的最佳实践:
其他最佳实践: