首先了解一下虚拟私有云安全组的基本概念。安全组是安全组规则的集合，用户根据需求可以在安全组下自定义配置各种规则。当用户云主机绑定安全组之后，安全组下的规则会给云主机提供访问策略，云主机的流量转发就会受到安全组下规则的限制和保护。

安全组规则分类及配置参数

安全组规则分出方向和入方向两大类，主要包含以下配置参数

I入向安全组规则

IP版本： IPv4/IPv6

优先级： 可选范围为1-100，数字越小规则优先级越高

策略：    允许/拒绝，优先级相同的情况下拒绝优先于允许

协议：    即网络协议，支持ALL（所有协议）、TCP、UDP、ICMP

端口：    云主机实例允许被访问的端口，可选范围1-65535

源地址：可选择IP或者安全组，云主机允许被哪些远端IP或者绑定了安全组的云主机实例访问

II出向安全组规则

IP版本：IPv4/IPv6

优先级：可选范围为1-100，数字越小规则优先级越高

策略：允许/拒绝，优先级相同的情况下拒绝优先于允许

协议：即网络协议，支持ALL（所有协议）、TCP、UDP、ICMP

端口：云主机实例允许被哪些远端端口访问，可选范围1-65535

源地址：可选择IP或者安全组，允许云主机允许访问哪些远端IP或者绑定了安全组的云主机实例

远端安全组规则

添加安全组规则的时候源地址可以选择填写具体的IP地址，也可以选择安全组，如果选择的是安全组，那么我们称这条规则为远端安全组规则。

远端安全组如何等效成非远端安全组呢？

举例：安全组sg1下有远端安全组规则sg1-rule1，其源地址引用的是安全组sg2，安全组sg2被云主机1（IP：1.1.1.1）、云主机2（IP：1.1.1.2）、云主机3（IP：1.1.1.3）绑定。这种情况下安全组规则sg1-rule1可以等效成3条非远端安全组规则

根据远端安全组规则这一特性，我们可以通过以下方式实现多个云主机实例之间互通，具体配置步骤如下：

1、创建安全组sg1

2、创建入方向安全组规则，源地址使用安全组，引用安全组sg1本身

3、创建出方向安全组规则，源地址使用安全组，引用安全组sg1本身

4、将有互通需求的云主机同时绑定安全组sg1

这样即可实现多个云主机之间全互通