操作场景
安全组实际是网络流量访问策略,通过访问策略可以控制流量入方向规则和出方向规则,通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。
安全组规则遵循白名单规则,具体说明如下:
- 入方向规则:入方向指外部访问安全组内的实例的指定端口。当外部请求匹配上安全组中入方向规则的源地址,并且策略为“允许”时,允许该请求进入,其他请求一律拦截。
因此,如果没有特殊需求,您一般不用在入方向配置策略为“拒绝”的规则,因为不匹配“允许”规则的请求均会被拦截。
- 出方向规则:出方向指安全组内的实例访问外部的指定端口。在出方向中配置目的地址匹配所有IP地址的规则,并且策略为“允许”时,允许所有的内部请求出去。
0.0.0.0/0表示匹配所有IPv4地址。
::/0表示匹配所有IPv6地址。
如果实例关联的安全组策略无法满足使用需求,比如需要开放某个TCP端口,您可以参考以下操作,通过在入方向规则添加端口,从而打开指定的TCP端口。
操作步骤
- 登录管理控制台。
- 在系统首页,选择“网络 > 虚拟私有云”。
- 在左侧导航栏,选择“访问控制 > 安全组”。进入安全组列表页面。
- 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。进入安全组规则配置页面。
- 在“入方向规则”页签,单击“添加规则”。弹出“添加入方向规则”对话框。
- 根据界面提示,设置入方向规则参数。单击“+”按钮,可以依次增加多条入方向规则。
- 入方向规则设置完成后,单击“确定”。返回入方向规则列表,可以查看添加的入方向规则。
- 在“出方向规则”页签,单击“添加规则”。弹出“添加出方向规则”页签。
- 根据界面提示,设置出方向规则参数。单击“+”按钮,可以依次增加多条出方向规则。
- 出方向规则设置完成后,单击“确定”。返回出方向规则列表,可以查看添加的出方向规则。
表 入方向参数说明
参数 说明 取值样例 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和源地址 端口:允许远端地址访问弹性云主机指定端口,取值范围为:1~65535。 22或22-30 源地址:可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。例如:
xxx.xxx.xxx.xxx/32(IPv4地址)
xxx.xxx.xxx.0/24(子网)
0.0.0.0/0(任意地址)
sg-abc(安全组)
0.0.0.0/0 描述 安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。-
表 出方向参数说明
参数 说明 取值样例 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和目的地址 端口:允许弹性云主机访问远端地址的指定端口,取值范围为:1~65535。 22或22-30 目的地址:可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。例如:
xxx.xxx.xxx.xxx/32(IPv4地址)
xxx.xxx.xxx.0/24(子网)
0.0.0.0/0(任意地址)
sg-abc(安全组)
0.0.0.0/0 描述 安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。-
