当您将ECS实例关联安全组时,实际上是将ECS实例的主网卡关联安全组。关联安全组后,实例的出入站流量受安全组规则限制。您可以根据业务需要,随时调整ECS实例与安全组的关联关系。本文介绍如何为实例加入、移出或更换安全组。
使用限制
一台ECS实例至少关联一个安全组,一台ECS实例关联的安全组数量有限制,详情请参见安全组使用限制。
ECS实例与加入的安全组网络类型必须一致,且需在同一个专有网络VPC下。
ECS实例加入的多个安全组必须是同一类型安全组(普通安全组或者企业级安全组),详情请参见普通安全组与企业级安全组。
将实例加入、移出或更换安全组
若实例的安全组不符合当前业务需求,您可以将ECS实例加入其他安全组、移出已加入的安全组或者更换安全组。
已创建实例(加入、移出、更换)
登录ECS管理控制台。
在左侧导航栏,选择。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在ECS实例列表页,按需为一台或者多台ECS实例加入、移出或更换安全组。
如果一台ECS实例只关联一个安全组,则无法执行移出操作,因为一台ECS实例至少关联一个安全组。
单台ECS实例
找到目标ECS实例,在操作列中,选择
> 网络和安全组中的更换安全组。在更换安全组对话框,为单台ECS实例变更安全组。
将ECS实例加入安全组:在安全组下拉列表中选择新的安全组,单击确定。
将ECS实例移出安全组:在安全组区域框中删除已有安全组,单击确定。
多台ECS实例
为多台ECS实例变更安全组,需要确保选中的实例的网络类型必须相同,如果是专有网络则必须在同一专有网络内。
选中多台目标ECS实例,在列表底部选择更多 > 网络和安全组中的加入安全组、移出安全组或替换安全组,为多台ECS实例变更安全组。
将ECS实例加入安全组:在ECS实例加入安全组对话框的选择安全组下拉列表,选择新的安全组,单击确定。
将ECS实例移出安全组:在ECS实例移出安全组对话框的选择安全组下拉列表,删除已有安全组,单击确定。
为ECS实例替换安全组:在实例替换安全组对话框的选择安全组下拉列表,替换已加入的安全组,单击确定。
新建实例时(加入)
在控制台创建ECS实例时,您可以将ECS实例加入指定的一个或多个安全组。如果当前网络下没有安全组,在创建ECS实例的同时会创建一个默认安全组,您可以根据需要勾选要开通的IPv4协议和端口。具体操作,详见自定义购买实例。
默认安全组的属性说明如下:
安全组类型:普通安全组。
网络类型:随实例创建,与实例的网络类型一致。
默认安全组规则:
规则优先级:100。
说明2020年05月27日以前系统创建的默认安全组规则的优先级为110。
规则说明:
出方向:默认允许所有访问,即安全组内的ECS访问外部都是放行的。
入方向:默认仅允许通过ICMP 协议、22 端口和3389 端口访问,您可以自定义是否允许HTTP 80端口和HTTPS 443端口访问。例如,如果您使用ECS实例进行建站就需要选中HTTP 80端口和HTTPS 443端口。
在ECS控制台安全组列表页面展示并有类似System created security group.的提示信息,表示该安全组为默认安全组。
您可以在默认安全组规则的基础上继续新增、修改安全组规则,更精细地控制出入站流量,管理默认安全组与实例、弹性网卡的关联关系等。
如果默认安全组规则不满足您的应用场景,您可以根据实际情况新建自定义安全组、配置新的安全组规则并关联至ECS实例或者弹性网卡。更多信息,请参见创建安全组。
为指定安全组加入或移出实例
您也可以以安全组为维度,为指定安全组加入实例或者移出实例,以便符合当前业务需求。
登录ECS管理控制台。
在左侧导航栏,选择。
在页面左侧顶部,选择目标资源所在的资源组和地域。
找到目标安全组,在操作列中,选择
> 管理实例 。进入目标安全组内的实例列表页面,按需为指定安全组加入实例或者移出实例。
将实例加入安全组:单击实例加入安全组,在实例加入安全组对话框的实例文本框,输入实例ID或名称,选择该实例单击确定。
将实例移出安全组:选择一个或多个辅助弹性网卡,单击列表下方的移出安全组。在移出安全组对话框,单击确定。
查询安全组关联的实例
在页面,选择
> 管理实例 。在实例列表的云服务器ECS实例和弹性容器实例页签,查看该安全组关联的所有实例。