安全组

安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置安全组规则,允许或禁止安全组内的 ECS 实例对公网或私网的访问。

概述

安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个 ECS 实例至少属于一个安全组,在创建的时就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。

更多关于安全组的介绍,参见 安全组

导入与添加安全组

您可以通过添加或导入安全组将安全组与工作空间绑定,绑定后该安全组内的所有资源自动属于该工作空间。

前提条件

如果您要创建专有网络 VPC 类型安全组,请确认您已经有可用的专有网络 VPC 和虚拟交换机。更多详情,请参见 创建专有网络

导入安全组

  1. 进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组

  2. 单击 导入

  3. 在弹出的对话框中,勾选要导入的安全组,单击 确定

    说明

    一个安全组只能属于一个工作空间。弹出框中列出了该租户下所有的安全组列表,已经属于某个工作空间的安全组将不能勾选和导入。 VPC 网络下,只能导入同一工作空间中创建的安全组,不同工作空间中的安全组无法导入。

添加安全组

  1. 进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组

  2. 单击 添加

  3. 在弹出的 添加安全组 对话框中,按页面提示要求输入 名称描述(可选),单击 确定

编辑安全组

创建完安全组后,您可以编辑安全组的名称和描述。

操作步骤

  1. 进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组

  2. 找到目标安全组,单击右侧 操作 栏中的 编辑

  3. 安全组的名称和描述进入可修改状态,修改后单击 保存

删除与移出安全组

若您的业务已经不再需要一个或多个安全组,您可以删除或移出安全组。

前提条件

待删除或移出的安全组内不存在 ECS 实例。如果安全组内有 ECS 实例,您需要将实例移出安全组。

删除安全组

  1. 进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组

  2. 找到要删除的安全组,单击右侧 操作 栏中的 删除。在弹出框中单击 确定

    安全组删除后,组内所有安全组规则同时被删除。

移出安全组

  1. 进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组

  2. 找到要删除的安全组,单击右侧 操作 栏中的 移出。在弹出框中单击 确定

    移出的安全组不会被删除,还可以通过导入的方式加入到工作空间中。

添加安全组规则

您可以通过添加安全组规则,允许或禁止安全组内的 ECS 实例对公网或私网的访问。

前提条件

已创建安全组。

操作步骤

  1. 进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组

  2. 找到目标的安全组,单击右侧 操作 栏中的 规则管理

  3. 单击 添加,在弹出对话框中进行规则配置后,单击 确定

    • 网卡类型:VPC 网络下的安全组,仅支持 内网 网卡,经典网络下的安全组,可以设置 内网公网 网卡。

    • 规则方向

      • 出方向:是指 ECS 实例访问内网中其他 ECS 实例或者公网上的资源。

      • 入方向:是指内网中的其他 ECS 实例或公网上的资源访问 ECS 实例。

    • 授权策略

      • 允许:放行该端口相应的访问请求。

      • 拒绝:直接丢弃数据包,不会返回任何回应信息。如果两个安全组规则其他都相同只有授权策略不同,则拒绝授权生效,允许策略不生效。

    • 协议类型:TCP、UDP、GRE、ICMP、全部。端口范围和协议类型的关系,参考 添加安全组规则

    • 端口范围:-1/-1,表示不限制端口。

    • 授权类型:安全组访问、地址段访问。授权类型和授权对象的关系,参考 添加安全组规则

    • 授权对象:支持格式如 10.15.6.8/1210.15.6.18。多个用 , 隔开。0.0.0.0/0 表示所有 IP,请谨慎设置。

    • 优先级:取值范围为 1 ~ 100。优先级数值越小,优先级越高。

删除安全组规则

如果您不再需要某个安全组规则,可以删除安全组规则。

前提条件

操作步骤

  1. 进入资源管理控制台,单击左侧导航栏中的 计算和网络 > 安全组

  2. 找到目标的安全组,单击右侧 操作 栏中的 规则管理

  3. 选择对应的规则类型,找到要删除的规则,单击右侧 操作 栏中的 删除, 在弹出框中单击 确定