前提条件
配置规划
安全组为ECS的关键概念,在新建ECS实例前需要先创建好安全组。根据安全策略,您需要创建2个安全组,安全组与安全规则详细规划如下:
| 地域 | 安全组名称 | 关联ECS | 安全规则-入方 | 安全规则-出方 |
|---|---|---|---|---|
| 华东1 | sg_g1 | ECS_Web | 允许SLB、堡垒机接入。 金融云场景下默认放行SLB;堡垒机的接入在开通堡垒机时可自动生成安全规则,因此此规则无需手动配置。 |
接出到ECS-APP。
|
| sg_g2 | ECS_APP | 允许ECS-Web接入。
|
接出到RDS/OSS。 金融云场景下默认放行ECS到RDS/OSS,因此此规则无需手动配置。 |
因此,根据规划,需要创建两个安全组,且每个安全组分别配置一条安全规则。
操作步骤
ECS的安全组配置可直接在控制台操作,也可以使用SDK来进行配置。以下以控制台操作为例,示例安全组的配置步骤。
-
登录阿里云官网并单击右上方的控制台进入控制台页面。
- 在左侧导航栏中选择云服务器ECS,进入ECS页面。
- 创建安全组。
- 在左侧导航栏中选择,选择华东1金融云地域并单击创建安全组,进入创建安全组页面。
- 按照规划,输入安全组名称“sg_g1”,完成后单击确定。
- 重复上述步骤,完成另外1个安全组的创建。
- 记录sg_g1安全组的ID,用于后续堡垒机配置使用。
- 在左侧导航栏中选择,选择华东1金融云地域并单击创建安全组,进入创建安全组页面。
- 添加ECS-Web的出方向安全规则。
- 在左侧导航栏中选择,进入安全组页面。
- 选择“sg_g1”安全组后单击配置规则,在配置规则页面单击添加安全组规则。
- 配置sg_g1的安全规则。
- 规则方向:出方向
- 端口范围:1/65535
- 权限类型:安全组授权(请根据实际ECS所属账号选择本账号授权或跨账号授权,本示例为本账号授权)
- 授权对象:sg_g2
- 单击确定。
- 添加ECS-APP的入向安全规则。
- 选择“sg_g2”安全组后单击配置规则,在配置规则页面单击添加安全组规则。
- 配置sg_g2的安全规则。
- 规则方向:入方向
- 端口范围:1/65535(此处为端口示例,请根据实际应用的端口配置)
- 权限类型:安全组授权(请根据实际ECS所属账号选择本账号授权或跨账号授权,本示例为本账号授权)
- 授权对象:sg_g1
- 单击确定。
至此您已完成经典网络下金融云推荐架构中需要手动配置的安全组。ECS安全组的基本限制可参考安全组使用注意章节。