当您创建VPC类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其他安全组。安全组是一种虚拟防火墙,用来控制ECS实例的出站和入站流量。

本文档介绍常用VPC类型的ECS实例的安全组设置。

案例一:私网互通

VPC类型的ECS实例互通分以下两种情况:

  • 同一VPC内的相同安全组下的ECS实例,默认互通。
  • 不同VPC内的ECS实例,无法互通。首先需要使用高速通道、VPN网关、云企业网等产品打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。
    安全组规则 规则方向 授权策略 协议类型和端口范围 授权类型 授权对象
    VPC 1中的ECS实例的安全组配置 入方向 允许

    Windows: RDP

    3389/3389

    地址段访问
    要访问的VPC2中的ECS实例的私网IP。
    说明 如果允许任意ECS实例登录,填写0.0.0.0/0。
    入方向 允许

    Linux: SSH

    22/22

    地址段访问
    入方向 允许

    自定义TCP

    自定义

    地址段访问
    VPC 2中的ECS实例的安全组配置 入方向 允许

    Windows: RDP

    3389/3389

    地址段访问
    要访问的VPC1中的ECS实例的私网IP。
    说明 如果允许任意ECS实例登录,填写0.0.0.0/0。
    入方向 允许

    Linux: SSH

    22/22

    地址段访问
    入方向 允许

    自定义TCP

    自定义

    地址段访问

案例二:拒绝特定IP或特定端口的访问

您可以通过配置安全组拒绝特定IP或特定端口对VPC类型的ECS实例的访问,如下表所示。

安全组规则 规则方向 授权策略 协议类型和端口范围 授权类型 授权对象
拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝

全部

-1/-1

地址段访问

要拒绝访问的IP地址段,如10.0.0.1/32。

拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝

SSH(22)

22/22

地址段访问

要拒绝访问的IP地址段,如10.0.0.1/32。

案例三:只允许特定IP远程登录ECS实例

如果您为VPC中的ECS实例配置了公网IP,如EIP、公网NAT网关等。您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。

安全组规则 规则方向 授权策略 协议类型和端口范围 授权类型 授权对象
允许Windows远程登录 入方向 允许

RDP

3389/3389

地址段访问
允许登录ECS实例的指定IP地址。
说明 如果允许任意公网IP登录ECS,填写0.0.0.0/0。
允许Linux SSH登录 入方向 允许

SSH

22/22

地址段访问
允许登录ECS实例的指定IP地址。
说明 如果允许任意公网IP登录ECS实例,填写0.0.0.0/0。

案例四:允许公网访问ECS实例部署的HTTP或HTTPS服务

如果您在VPC类型的ECS实例上部署了一个网站,通过EIP、公网NAT网关对外提供服务,您需要配置以下安全组规则允许用户从公网访问您的网站。

安全组规则 规则方向 授权策略 协议类型和端口范围 授权类型 授权对象
允许来自HTTP 80端口的入站访问 入方向 允许

HTTP

80/80

地址段访问 0.0.0.0/0
允许来自HTTPS 443端口的入站访问 入方向 允许

HTTPS

443/443

地址段访问 0.0.0.0/0
允许来自TCP 80端口的入站访问 入方向 允许

TCP

80/80

地址段访问 0.0.0.0/0