本文介绍了几个常见的安全组应用案例,同时包括专有网络VPC和经典网络的安全组设置说明。
ECS实例主要通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。创建安全组和添加安全组规则的详细操作,请参见创建安全组和添加安全组规则。以下列举了常见的安全组规则配置案例供您参考:
场景举例:如果您需要同一个地域、同一个账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。
场景举例:如果您需要同一个地域、不同账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。
场景举例:如果您的ECS实例被黑客远程控制,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
场景举例:如果您的ECS实例被黑客远程控制,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
场景举例:如果您不希望您的ECS实例访问某个特定的外部IP地址,您可以通过安全组设置,拒绝实例访问外部特定IP地址。
场景举例:您可以通过公网远程连接到实例上,管理实例。
场景举例:您可以通过内网其他账号下某个安全组内的ECS实例远程连接到实例上,管理实例。
场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 优先级 | 授权对象 |
---|---|---|---|---|---|---|
专有网络 | 入方向 | 允许 | 设置适用的协议类型 | 设置端口范围 | 1 | 输入允许访问的实例所在的安全组ID。 |
经典网络 | 入方向 |
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以使用云企业网实现VPC互通。详情请参见 《云企业网文档》 步骤一:网络规划。
UserA(账号ID:160998252992****)在华东1有一台经典网络类型的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA(安全组ID:sg-bp174yoe2ib1sqj5****)。
UserB(账号ID:135652617028****)在华东1有一台经典网络类型的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB(安全组ID:sg-bp148p6ncq1rjuvr****)。
您需要在GroupA和GroupB中分别添加安全组规则,授权InstanceA和InstanceB内网互通。
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
经典网络 | 入方向 | 允许 | 选择适用的协议类型 | 设置端口范围 | 格式:UserB的账号ID/GroupB的ID 示例:135652617028****/sg-bp148p6ncq1rjuvr**** |
1 |
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
经典网络 | 入方向 | 允许 | 选择适用的协议类型 | 设置端口范围 | 格式:UserA的账号ID/GroupA的ID 示例:160998252992****/sg-bp174yoe2ib1sqj5**** |
1 |
a.b.c.d/32
,其中IP地址应根据您的实际需求设置,子网掩码必须是/32。
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 入方向 | 允许 | 自定义TCP | SSH (22) | 允许远程连接的CIDR,例如1.2.3.4/32或10.0.0.0/8。 | 1 |
经典网络 | 公网入方向 |
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 入方向 | 允许 | 自定义TCP | RDP (3389) | 允许远程连接的CIDR,例如1.2.3.4/32或10.0.0.0/8。 | 1 |
经典网络 | 公网入方向 |
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 出方向 | 拒绝 | 全部 | -1/-1 | 0.0.0.0/0 | 2 |
经典网络 | 公网出方向 |
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 出方向 | 允许 | 选择适用的协议类型 | 设置端口范围 | 允许实例访问的特定CIDR,例如1.2.3.4/32或10.0.0.0/8。 | 1 |
经典网络 | 公网出方向 |
添加了安全组规则后,再连接实例,执行ping、telnet等测试。如果实例只能访问授权对象中设置的IP地址,说明安全组规则已经生效。
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 出方向 | 拒绝 | 全部 | -1/-1 | 拒绝实例访问的特定CIDR,例如1.2.3.4/32或10.0.0.0/8。 | 1 |
经典网络 | 公网出方向 |
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 入方向 | 允许 | 自定义TCP | RDP (3389) | 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,请参见案例三:只允许特定IP地址远程登录到实例。 | 1 |
SSH (22) | ||||||
自定义,例如8080/8080 | ||||||
经典网络 | 公网入方向 | 允许 | 自定义TCP | RDP (3389) | ||
SSH (22) | ||||||
自定义,例如8080/8080 |
自定义远程连接端口的详细操作,请参见修改服务器默认远程端口。
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 入方向 | 允许 | 自定义TCP | RDP (3389) | 对方实例的私有IP地址。 | 1 |
SSH (22) | ||||||
自定义,例如8080/8080 | ||||||
经典网络 | 入方向 | 允许 | 自定义TCP | RDP (3389) | 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 | 1 |
SSH (22) | ||||||
自定义,例如8080/8080 |
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 入方向 | 允许 | 自定义TCP | RDP (3389) | 对方账号ID/对方ECS实例所属的安全组ID | 1 |
SSH (22) | ||||||
自定义,例如8080/8080 | ||||||
经典网络 | 入方向 | 允许 | 自定义TCP | RDP (3389) | ||
SSH (22) | ||||||
自定义,例如8080/8080 |
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 入方向 | 允许 | 自定义TCP | HTTP (80) | 0.0.0.0/0 | 1 |
HTTPS (443) | ||||||
自定义,例如8080/8080 | ||||||
经典网络 | 公网入方向 | 允许 | 自定义TCP | HTTP (80) | ||
HTTPS (443) | ||||||
自定义,如8080/8080 |
网络类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|
VPC | 入方向 | 允许 | 自定义TCP | HTTP (80) | 允许访问您网站的主机的公网IP地址,可以为一个或多个公网IP地址,例如1.2.3.4/32或10.0.0.0/8。 | 1 |
HTTPS (443) | ||||||
自定义,例如8080/8080 | ||||||
经典网络 | 公网入方向 | 允许 | 自定义TCP | HTTP (80) | ||
HTTPS (443) | ||||||
自定义,例如8080/8080 |
http://公网IP地址
访问您的实例,请参见检查TCP 80端口是否正常工作。