安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过添加安全组规则,您可以控制安全组内ECI实例的入流量和出流量。
安全组介绍
安全组是一个逻辑上的分组,由同一VPC内具有相同安全保护需求并相互信任的实例组成。通过添加安全组规则,安全组可以允许或拒绝安全组内ECI实例对公网或者私网的访问,以及管理是否放行来自公网或私网的访问请求。更多信息,请参见安全组概述。
-
一个安全组可以管理同一个VPC内的多个ECI实例。
-
一个ECI实例必须属于一个安全组。
安全组分为普通安全组和企业安全组。如果您对整体规模和运维效率有较高需求,建议您使用企业安全组。相比普通安全组,企业安全组大幅提升了组内支持容纳的实例数量,简化了规则配置方式。更多关于两种安全组的差异信息,请参见普通安全组与企业级安全组。
指定安全组
创建ECI实例时,必须要指定安全组,即必须要将ECI实例加入到安全组中。关于如何创建安全组,请参见创建安全组。
创建成功的ECI实例不支持修改安全组。如果想要变更安全组,需要重新创建ECI实例。
OpenAPI
调用CreateContainerGroup接口创建ECI实例时,您可以通过SecurityGroupId参数来指定安全组。SecurityGroupId的参数说明如下表所示。更多信息,请参见CreateContainerGroup。
|
名称 |
类型 |
示例值 |
描述 |
|
SecurityGroupId |
String |
sg-uf66jeqopgqa9hdn**** |
指定安全组ID。 |
控制台
通过弹性容器实例售卖页创建ECI实例时,必须要选择一个安全组。
在网络与安全组配置区域,选择专有网络和交换机后,单击重新选择安全组以指定目标安全组。
添加安全组规则
对于安全组内的ECI实例,您可以添加安全组规则来控制其出入流量。例如:
-
当ECI实例需要与所在安全组之外的网络进行通信时,您可以添加允许访问的安全组规则,实现网络互通。
-
在运行ECI实例的过程中,发现部分请求来源有恶意攻击行为时,您可以添加拒绝访问的安全组规则,实现网络隔离。
关于如何添加安全组规则,请参见添加安全组规则。