操作场景
安全组类似防火墙功能,是一个逻辑上的分组,用于设置网络访问控制。用户可以在安全组中定义各种访问规则,当弹性云主机加入该安全组后,即受到这些访问规则的保护。
- 入方向:入方向规则放通入方向网络流量,指从外部访问安全组规则下的云主机。
- 出方向:出方向规则放通出方向网络流量。指安全组规则下的云主机访问安全组外的实例。
- 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 选择“计算 > 弹性云主机”。
- 在弹性云主机列表,单击待变更安全组规则的弹性云主机名称。系统跳转至该弹性云主机详情页面。
- 选择“安全组”页签,展开安全组,查看安全组规则。
- 单击安全组ID。系统自动跳转至安全组页面。
- 在入方向规则页签,单击“添加规则”,添加入方向规则。
单击“+”可以依次增加多条入方向规则。
添加入方向规则
入方向参数说明
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 优先级 | 安全组规则优先级。 优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。 |
1 |
| 策略 | 安全组规则策略。 优先级相同的情况下,拒绝策略优先于允许策略。 |
允许 |
| 协议端口 | 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 | TCP |
| 端口:允许远端地址访问弹性云主机指定端口,取值范围为:1~65535。 端口填写包括以下形式: 单个端口:例如22 连续端口:例如22-30 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。 全部端口:为空或1-65535 |
22或22-30或20,22-30 | |
| 类型 | IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 |
IPv4 |
| 源地址 | 源地址:可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如: 单个IP地址:192.168.10.10/32(IPv4地址);2002:50::44/127(IPv6地址) IP地址段:192.168.1.0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段) 所有IP地址:0.0.0.0/0(IPv4任意地址);::/0(IPv6任意地址) 安全组:sg-abc IP地址组:ipGroup-test 若源地址为安全组,则选定安全组内的云主机都遵从当前所创建的规则。 |
0.0.0.0/0 |
| 描述 | 安全组规则的描述信息,非必填项。 描述信息内容不能超过255个字符,且不能包含“<”和“>”。 |
- |
- 在出方向规则页签,单击“添加规则”,添加出方向规则。
单击“+”可以依次增加多条出方向规则。
添加出方向规则
表 出方向参数说明
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 优先级 | 安全组规则优先级。 优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。 |
1 |
| 策略 | 安全组规则策略。 允许:允许安全组内的服务器按照该出方向规则进行出网访问 拒绝:拒绝安全组内的服务器按照该出方向规则进行出网访问。 优先级相同的情况下,拒绝策略优先于允许策略。 |
允许 |
| 协议端口 | 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 | TCP |
| 端口:允许弹性云主机访问远端地址的指定端口,取值范围为:1~65535。 端口填写包括以下形式: 单个端口:例如22 连续端口:例如22-30 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。 全部端口:为空或1-65535 |
22或22-30或20,22-30 | |
| 类型 | IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 |
IPv4 |
| 目的地址 | 目的地址:可以是IP地址、安全组、IP地址组。允许访问目的IP地址或另一安全组内的实例。例如: 单个IP地址:192.168.10.10/32(IPv4地址);2002:50::44/127(IPv6地址) IP地址段:192.168.1.0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段) 所有IP地址:0.0.0.0/0(IPv4任意地址);::/0(IPv6任意地址) 安全组:sg-abc IP地址组:ipGroup-test |
0.0.0.0/0 |
| 描述 | 安全组规则的描述信息,非必填项。 描述信息内容不能超过255个字符,且不能包含“<”和“>”。 |
- |
9.单击“确定”,完成安全组规则配置。
结果验证
安全组规则配置完成后,我们需要验证对应的规则是否生效。假设您在弹性云主机上部署了网站,希望用户能通过TCP(80端口)访问到您的网站,您添加了一条入方向规则,如下表所示。
表 安全组规则
| 方向 | 协议/应用 | 端口 | 源地址 |
|---|---|---|---|
| 入方向 | TCP | 80 | 0.0.0.0/0 |
Linux弹性云主机
Linux弹性云主机上验证该安全组规则是否生效的步骤如下所示。
1.登录弹性云主机。
2.运行如下命令查看TCP 80端口是否被监听。
netstat -an | grep 80
如果返回结果如下图所示,说明TCP 80端口已开通。
Linux TCP 80端口验证结果
3.在浏览器地址栏里输入“http://弹性云主机的弹性公网IP地址”。
如果访问成功,说明安全组规则已经生效。
Windows弹性云主机
Windows弹性云主机上验证该安全组规则是否生效的步骤如下所示。
- 登录弹性云主机。
- 选择“开始 > 附件 > 命令提示符”。
- 运行如下命令查看TCP 80端口是否被监听。
netstat -an | findstr 80
如果返回结果如下图所示,说明TCP 80端口已开通。
Windows TCP 80端口验证结果
- 在浏览器地址栏里输入“http://弹性云主机的弹性公网IP地址”。
如果访问成功,说明安全组规则已经生效。
