如果您需要实现同一普通安全组中的两台ECS实例内网互通,或限制ECS实例之间的网络通信以确保网络安全性,您可以通过ECS控制台修改普通安全组的组内连通策略。
背景信息
普通安全组的组内连通策略是组内互通时,会忽略其他自定义访问规则,组内所有实例的内网保持默认连通。
普通安全组的组内连通策略是组内隔离时,在不添加其他访问规则的情况下,组内所有实例的内网默认不连通。
企业级安全组不支持修改组内连通策略,默认组内隔离。
安全组内网络隔离是网卡之间的隔离,而不是ECS实例之间的隔离。若实例上绑定了多张弹性网卡,需设置每个网卡所属安全组的组内网络隔离。更多信息,请参见安全组与弹性网卡关联的管理。
以下情况,安全组内实例之间仍然可以互相访问:
实例同时归属于多个安全组时,有一个及以上的安全组未设置组内隔离。
既设置了安全组内隔离,又设置了让组内实例之间可以互相访问的安全组规则。
更多信息,请参见普通安全组与企业级安全组。
操作步骤
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在安全组页面中,找到需要修改的安全组,单击安全组ID。
在基本信息区域,根据需要设置组内连通策略为组内互通或组内隔离。
在弹出的对话框中,单击确定。
示例说明
本示例中,Group1、Group2分别为2个不同的普通安全组,ECS1、ECS2、ECS3分别为3个不同的ECS实例。实例和实例所属的安全组的关系如下:
Group1:包含ECS1和ECS2,设置组内网络隔离。
Group2:包含ECS2和ECS3,保持默认,即组内网络互通。
则各实例间的网络连通情况如下:
实例 | 网络连通情况 | 说明 |
ECS1和ECS2 | 隔离 | ECS1和ECS2同时属于Group1。Group1的策略是组内隔离,所以ECS1和ECS2之间网络隔离。 |
ECS2和ECS3 | 互通 | ECS2和ECS3同时属于Group2。Group2的策略是默认互通,所以ECS2和ECS3之间网络互通。 |
ECS1和ECS3 | 隔离 | ECS1和ECS3分属不同的安全组,不同安全组的实例之间默认网络不通,所以ECS1和ECS3之间网络隔离。 |
相关文档
您也可以调用API接口修改普通安全组的连通策略。具体操作,请参见ModifySecurityGroupPolicy。
您可以在配置审计(Config)中创建审计规则,对安全组规则的合规性进行审计,并将审计结果投递到日志服务SLS中。更多信息,请参见对安全组规则的合规性进行审计和预警。