前提条件

已完成阿里云账号注册实名认证金融云认证

配置规划

安全组为ECS的关键概念,在新建ECS实例前需要先创建好安全组。根据安全策略,您需要创建2个安全组,安全组与安全规则详细规划如下:

地域 安全组名称 关联ECS 安全规则-入方 安全规则-出方
华东1 sg_g1 ECS_Web

允许SLB、堡垒机接入。

金融云场景下默认放行SLB;堡垒机的接入在开通堡垒机时可自动生成安全规则,因此此规则无需手动配置。

接出到ECS-APP。

  • 授权类型:安全组授权(请根据实际ECS所属账号选择本账号授权跨账号授权,本示例为本账号授权
  • 授权对象:sg_g2
sg_g2 ECS_APP

允许ECS-Web接入。

  • 授权类型:安全组授权(请根据实际ECS所属账号选择本账号授权跨账号授权,本示例为本账号授权
  • 授权对象:sg_g1

接出到RDS/OSS。

金融云场景下默认放行ECS到RDS/OSS,因此此规则无需手动配置。

因此,根据规划,需要创建两个安全组,且每个安全组分别配置一条安全规则。

操作步骤

ECS的安全组配置可直接在控制台操作,也可以使用SDK来进行配置。以下以控制台操作为例,示例安全组的配置步骤。

  1. 登录阿里云官网并单击右上方的控制台进入控制台页面。

  2. 在左侧导航栏中选择云服务器ECS,进入ECS页面。
  3. 创建安全组。
    1. 在左侧导航栏中选择网络和安全 > 安全组,选择华东1金融云地域并单击创建安全组,进入创建安全组页面。
    2. 按照规划,输入安全组名称“sg_g1”,完成后单击确定
    3. 重复上述步骤,完成另外1个安全组的创建。
    4. 记录sg_g1安全组的ID,用于后续堡垒机配置使用。
  4. 添加ECS-Web的出方向安全规则。
    1. 在左侧导航栏中选择网络和安全 > 安全组,进入安全组页面。
    2. 选择“sg_g1”安全组后单击配置规则,在配置规则页面单击添加安全组规则
    3. 配置sg_g1的安全规则。
      • 规则方向:出方向
      • 端口范围:1/65535
      • 权限类型:安全组授权(请根据实际ECS所属账号选择本账号授权跨账号授权,本示例为本账号授权
      • 授权对象:sg_g2
    4. 单击确定
  5. 添加ECS-APP的入向安全规则。
    1. 选择“sg_g2”安全组后单击配置规则,在配置规则页面单击添加安全组规则
    2. 配置sg_g2的安全规则。
      • 规则方向:入方向
      • 端口范围:1/65535(此处为端口示例,请根据实际应用的端口配置)
      • 权限类型:安全组授权(请根据实际ECS所属账号选择本账号授权跨账号授权,本示例为本账号授权
      • 授权对象:sg_g1
    3. 单击确定

至此您已完成经典网络下金融云推荐架构中需要手动配置的安全组。ECS安全组的基本限制可参考安全组使用注意章节。