修改普通安全组的组内连通策略

如果您需要实现同一普通安全组中的两台ECS实例内网互通,或限制ECS实例之间的网络通信以确保网络安全性,您可以通过ECS控制台修改普通安全组的组内连通策略。

背景信息

  • 普通安全组的组内连通策略组内互通时,会忽略其他自定义访问规则,组内所有实例的内网保持默认连通。

  • 普通安全组的组内连通策略组内隔离时,在不添加其他访问规则的情况下,组内所有实例的内网默认不连通。

  • 企业级安全组不支持修改组内连通策略,默认组内隔离。

  • 安全组内网络隔离是网卡之间的隔离,而不是ECS实例之间的隔离。若实例上绑定了多张弹性网卡,需设置每个网卡所属安全组的组内网络隔离。更多信息,请参见安全组与弹性网卡关联的管理

  • 以下情况,安全组内实例之间仍然可以互相访问:

    • 实例同时归属于多个安全组时,有一个及以上的安全组未设置组内隔离。

    • 既设置了安全组内隔离,又设置了让组内实例之间可以互相访问的安全组规则。

更多信息,请参见普通安全组与企业级安全组

操作步骤

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择网络与安全 > 安全组

  3. 在页面左侧顶部,选择目标资源所在的资源组和地域。地域

  4. 在安全组页面中,找到需要修改的安全组,单击安全组ID。

  5. 基本信息区域,根据需要设置组内连通策略组内互通组内隔离

  6. 在弹出的对话框中,单击确定

示例说明

本示例中,Group1、Group2分别为2个不同的普通安全组,ECS1、ECS2、ECS3分别为3个不同的ECS实例。实例和实例所属的安全组的关系如下:

image
  • Group1:包含ECS1和ECS2,设置组内网络隔离。

  • Group2:包含ECS2和ECS3,保持默认,即组内网络互通。

则各实例间的网络连通情况如下:

实例

网络连通情况

说明

ECS1和ECS2

隔离

ECS1和ECS2同时属于Group1。Group1的策略是组内隔离,所以ECS1和ECS2之间网络隔离。

ECS2和ECS3

互通

ECS2和ECS3同时属于Group2。Group2的策略是默认互通,所以ECS2和ECS3之间网络互通。

ECS1和ECS3

隔离

ECS1和ECS3分属不同的安全组,不同安全组的实例之间默认网络不通,所以ECS1和ECS3之间网络隔离。

相关文档