安全组是一种虚拟防火墙,能够控制ECS实例的收支站流量。安全组的入方向规则控制ECS实例的入站流量,出方向规则控制ECS实例的出站流量。
创建ECS实例时,您可以指定一个或多个安全组。如果您创建ECS实例时未指定安全组,将使用默认安全组。在决定ECS实例的流量能否通过时,与ECS实例关联的多个安全组的规则,将按固定的计谋排序,共同生效。
您可以为安全组新增规则,修改或删除已有规则,这些规则变动会自动地作用于安全组中的所有ECS实例。更多信息,请拜见安全组规则。您可以随时修改ECS实例关联的安全组,修改后安全组的规则将会自动地作用于ECS实例。ECS实例关联的安全组,其规则作用于ECS实例的主网卡。专有网络ECS实例的其他弹性网卡,可以指定与主网卡差别的安全组。在专有网络VPC下,安全组仅能在所属的VPC下使用,在创建VPC网络下的ECS实例时,您指定的虚拟交换机和安全组,必须属于同一个VPC。
组内互通和授权安全组访问,是安全组提供的两项重要特性。组内互通,是指安全组内的ECS实例内网互通。授权安全组访问,是指您可以添加授权对象为安全组的安全组规则,从而允许或拒绝另一个安全组中的ECS实例,通过内网访问该安全组中的ECS实例。安全组分为普通安全组和企业级安全组两种范例,两者均免费,适用于差别的使用场景。普通安全组支持组内互通功能,支持添加授权安全组访问的规则,但可容纳的私网IP数目小于企业级安全组。企业级安全组可以容纳更多的私网IP地点数目,但不支持组内互通功能,也不支持添加授权安全组访问的规则。在ECS实例关联到多个安全组时,同一块网卡只能使用一种范例的安全组。发起您根据本身的使用需求来选择安全组范例。更多信息,请拜见普通安全组与企业级安全组。
在您使用DescribeSecurityGroups接口查询到安全组的ServiceManaged属性为True,或使用控制台看到安全组有类似云产品托管的安全组不支持修改操作的提示时,表示该安全组为托管安全组。托管安全组属于用户账号,但操作权限属于云产品,用户仅能查察不能操作。更多信息,请拜见托管安全组。
在您使用DeleteSecurityGroup接口删除安全组时返回错误码InvalidOperation.DeletionProtection,或使用控制台删除安全组看到类似删除保护的提示时,阐明该安全组开启了删除保护功能。在您创建ACK集群时,关联的安全组会开启删除保护功能,来防止误删除。删除保护功能无法手动关闭,只有在删除了关联的ACK集群后,才能够自动关闭。更多信息,请拜见关闭安全组删除保护。
公道使用安全组可以有效进步实例的安全性,但进步实例安全性是一项体系的工作,您还可以结合更多其他做法。更多信息,请拜见云服务器ECS安全性。
安全组使用的最佳实践
关于安全组的使用,为您提供以下最佳实践发起:
- 规划
您可以为安全组设置名称、描述,也可以设置安全组的标签、资源组,便于进行分类运维。发起您公道设置这些信息,方便快速识别安全组的用途,在管理较多安全组时更加清楚。
- 以白名单的方式使用安全组
即默认拒绝所有访问,添加允许规则来放通指定的端口范围和授权对象。
- 添加安全组规则时遵循最小授权原则
比方,开放Linux实例的22端口用于远程登录时,发起仅允许特定的IP访问,而非所有IP(0.0.0.0/0)。
- 遵循最小权限原则
在不需要普通安全组内ECS实例互相内网互通时,将普通安全组的组内连通计谋设置为组内隔离。
- 只管保持单个安全组内规则的简便
按照用途将规则维护在多个安全组中,并将实例关联到这些安全组。单个安全组的规则数目过多,会增长管理复杂度。安全组规则的健康检查,提供了检测单个安全组冗余规则的能力,详情请拜见查察安全组是否存在冗余规则。
- 差别范例应用的实例加入差别的安全组,分别维护安全组规则
比方,将允许公网访问的实例关联到同一个安全组,仅放通对外提供服务的端口,比方80、443等,默认拒绝其他所有访问。避免在允许公网访问的实例上提供其他服务,比方MySQL、Redis等,发起将内部服务部署在不允许公网访问的实例上,并关联其他的安全组。
- 避免直接修改线上情况使用的安全组
可以先克隆一个安全组在测试情况调试,确保修改后实例流量正常,再对线上情况的安全组规则进行修改。
当您创建VPC范例的ECS实例时,可以使用体系提供的默认安全组规则,也可以选择VPC中已有的其他安全组。安全组是一种虚拟防火墙,用来控制ECS实例的出站和入站流量。
本文档介绍常用VPC范例的ECS实例的安全组设置。
案例一:私网互通
VPC范例的ECS实例互通分以下两种情况:
- 同一VPC内的相同安全组下的ECS实例,默认互通。
- 差别VPC内的ECS实例,无法互通。首先需要使用高速通道、VPN网关、云企业网等产品打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。 安全组规则规则方向授权计谋协议范例和端口范围授权范例授权对象VPC 1中的ECS实例的安全组设置入方向允许 Windows: RDP
3389/3389
地点段访问要访问的VPC2中的ECS实例的私网IP。 阐明
如果允许恣意ECS实例登录,填写0.0.0.0/0。
入方向允许 Linux: SSH
22/22
地点段访问入方向允许 自定义TCP
自定义
地点段访问VPC 2中的ECS实例的安全组设置入方向允许 Windows: RDP
3389/3389
地点段访问要访问的VPC1中的ECS实例的私网IP。 阐明
如果允许恣意ECS实例登录,填写0.0.0.0/0。
入方向允许 Linux: SSH
22/22
地点段访问入方向允许 自定义TCP
自定义
地点段访问
案例二:拒绝特定IP或特定端口的访问
您可以通过设置安全组拒绝特定IP或特定端口对VPC范例的ECS实例的访问,如下表所示。
安全组规则规则方向授权计谋协议范例和端口范围授权范例授权对象拒绝特定IP地点段对ECS实例所有端口的入站访问入方向拒绝 全部
-1/-1
地点段访问 要拒绝访问的IP地点段,如10.0.0.1/32。
拒绝特定IP地点段对ECS实例TCP 22端口的入站访问入方向拒绝 SSH(22)
22/22
地点段访问 要拒绝访问的IP地点段,如10.0.0.1/32。
案例三:只允许特定IP远程登录ECS实例
如果您为VPC中的ECS实例设置了公网IP,如EIP、公网NAT网关等。您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。
安全组规则规则方向授权计谋协议范例和端口范围授权范例授权对象允许Windows远程登录入方向允许 RDP
3389/3389
地点段访问允许登录ECS实例的指定IP地点。 阐明
如果允许恣意公网IP登录ECS,填写0.0.0.0/0。
允许Linux SSH登录入方向允许 SSH
22/22
地点段访问允许登录ECS实例的指定IP地点。 阐明
如果允许恣意公网IP登录ECS实例,填写0.0.0.0/0。
案例四:允许公网访问ECS实例部署的HTTP或HTTPS服务
如果您在VPC范例的ECS实例上部署了一个网站,通过EIP、公网NAT网关对外提供服务,您需要设置以下安全组规则允许用户从公网访问您的网站。
安全组规则规则方向授权计谋协议范例和端口范围授权范例授权对象允许来自HTTP 80端口的入站访问入方向允许 HTTP
80/80
地点段访问0.0.0.0/0允许来自HTTPS 443端口的入站访问入方向允许 HTTPS
443/443
地点段访问0.0.0.0/0允许来自TCP 80端口的入站访问入方向允许 TCP
80/80
地点段访问0.0.0.0/0 安全组规则规则方向授权计谋协议范例和端口范围授权范例授权对象
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
