活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
  • 免费体验DeepSeek,上天翼云息壤 NEW 新老用户均可免费体验2500万Tokens,限时两周
  • 云上钜惠 HOT 爆款云主机全场特惠,更有万元锦鲤券等你来领!
  • 算力套餐 HOT 让算力触手可及
  • 天翼云脑AOne NEW 连接、保护、办公,All-in-One!
  • 一键部署Llama3大模型学习机 0代码一键部署,预装最新主流大模型Llama3与StableDiffusion
  • 中小企业应用上云专场 产品组合下单即享折上9折起,助力企业快速上云
  • 息壤高校钜惠活动 NEW 天翼云息壤杯高校AI大赛,数款产品享受线上订购超值特惠
  • 天翼云电脑专场 HOT 移动办公新选择,爆款4核8G畅享1年3.5折起,快来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

智算服务

打造统一的产品能力,实现算网调度、训练推理、技术架构、资源管理一体化智算服务
智算云(DeepSeek专区)
科研助手
  • 算力商城
  • 应用商城
  • 开发机
  • 并行计算
算力互联调度平台
  • 应用市场
  • 算力市场
  • 算力调度推荐
一站式智算服务平台
  • 模型广场
  • 体验中心
  • 服务接入
智算一体机
  • 智算一体机
大模型
  • DeepSeek-R1-昇腾版(671B)
  • DeepSeek-R1-英伟达版(671B)
  • DeepSeek-V3-昇腾版(671B)
  • DeepSeek-R1-Distill-Llama-70B
  • DeepSeek-R1-Distill-Qwen-32B
  • Qwen2-72B-Instruct
  • StableDiffusion-V2.1
  • TeleChat-12B

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场创新解决方案
办公协同
  • WPS云文档
  • 安全邮箱
  • EMM手机管家
  • 智能商业平台
财务管理
  • 工资条
  • 税务风控云
企业应用
  • 翼信息化运维服务
  • 翼视频云归档解决方案
工业能源
  • 智慧工厂_生产流程管理解决方案
  • 智慧工地
建站工具
  • SSL证书
  • 新域名服务
网络工具
  • 翼云加速
灾备迁移
  • 云管家2.0
  • 翼备份
资源管理
  • 全栈混合云敏捷版(软件)
  • 全栈混合云敏捷版(一体机)
行业应用
  • 翼电子教室
  • 翼智慧显示一体化解决方案

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
  • 天翼云EasyCoding平台
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼云东升计划
  • 适配中心
  • 东升计划
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
开放能力
  • EasyCoding敏捷开发平台
培训与认证
  • 天翼云学堂
  • 天翼云认证
魔乐社区
  • 魔乐社区

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 建议与反馈
  • 用户体验官
  • 服务保障
  • 客户公告
  • 会员中心
增值服务
  • 红心服务
  • 首保服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
      • 文档
      • 控制中心
      • 备案
      • 管理中心

      查看所有产品

      虚拟私有云

      虚拟私有云

      目录
        • 产品动态
        • 产品简介
        • 产品定义
        • 基本概念
        • 产品功能
        • 产品优势
        • 应用场景
        • 用户权限
        • 约束与限制
        • 计费说明
        • 产品规格与价格
        • 快速入门
        • 典型场景说明
        • 配置无需访问公网的弹性云主机的VPC
        • 简介
        • 步骤1:创建虚拟私有云基本信息及默认子网
        • 步骤2:为虚拟私有云创建新的子网
        • 步骤3:创建安全组
        • 步骤4:添加安全组规则
        • 配置通过弹性IP访问公网的弹性云主机的VPC
        • 简介
        • 步骤1:创建虚拟私有云基本信息及默认子网
        • 步骤2:为虚拟私有云创建新的子网
        • 步骤3:为弹性云主机申请和绑定弹性IP
        • 步骤4:创建安全组
        • 步骤5:添加安全组规则
        • 用户指南
        • 虚拟私有云和子网
        • 虚拟私有云和子网规划建议
        • 虚拟私有云
        • 创建虚拟私有云和子网
        • 修改虚拟私有云与添加扩展网段
        • 获取虚拟私有云ID与导出虚拟私有云列表
        • 删除虚拟私有云与扩展网段
        • 管理虚拟私有云标签
        • 为虚拟私有云添加IPv4扩展网段
        • 子网
        • 创建子网
        • 修改子网信息
        • 导出子网列表与查看子网内IP地址用途
        • 删除子网
        • 安全组
        • 安全组和安全组规则概述
        • 默认安全组概述
        • 安全组配置示例
        • 弹性云主机常用端口
        • 安全组的使用限制
        • 创建安全组与添加安全组规则
        • 修改安全组基本信息与安全组规则
        • 删除安全组与安全组规则
        • 快速添加多条规则与一键放通常见端口
        • 克隆安全组与复制安全组规则
        • 导入/导出安全组规则
        • 在安全组中添加或移出实例
        • 查看安全组
        • 更改弹性云主机的安全组
        • 网络ACL
        • 网络ACL概述
        • 网络ACL配置示例
        • 创建网络ACL与添加网络ACL规则
        • 查看网络ACL与导出/导入网络ACL规则
        • 修改网络ACL与网络ACL规则
        • 开启/关闭网络ACL与网络ACL规则
        • 删除网络ACL与网络ACL规则
        • 将子网和网络ACL关联/解除关联
        • 修改网络ACL规则生效顺序
        • 路由表
        • 路由表与路由概述
        • 创建自定义路由表
        • 在路由表中添加路由
        • 查看路由表信息
        • 修改路由
        • 删除路由表与路由
        • 将路由表关联至子网
        • 更换子网关联的路由表
        • 查看子网关联的路由表
        • 将其他路由表中路由复制到当前路由表
        • 导出路由表列表
        • IP地址组
        • IP地址组概述
        • 创建IP地址组
        • 将IP地址组关联至资源
        • 修改IP地址组基本信息
        • 删除IP地址组
        • 虚拟IP
        • 虚拟IP简介
        • 申请虚拟IP地址
        • 为虚拟IP地址绑定弹性IP或弹性云主机
        • 为弹性IP绑定虚拟IP地址
        • 为虚拟IP解绑实例
        • 为虚拟IP解绑弹性IP
        • 删除虚拟IP地址
        • IPv4/IPv6双栈管理
        • 创建IPv4/IPv6双栈子网
        • 添加IPv4/IPv6双栈网卡到共享带宽
        • 设置IPv4/IPv6双栈安全组
        • 为IPv4/IPv6双栈网络配置ACL
        • 添加IPv6自定义路由
        • 对等连接
        • 对等连接创建流程
        • 对等连接路由配置方案
        • 创建同一帐户下的对等连接
        • 创建不同帐户下的对等连接
        • 查看对等连接
        • 修改对等连接
        • 删除对等连接
        • 查看对等连接路由
        • 删除对等连接路由
        • 弹性网卡和辅助弹性网卡
        • 弹性网卡
        • 弹性网卡简介
        • 创建弹性网卡
        • 查看弹性网卡基本信息
        • 绑定弹性网卡到云主机实例
        • 绑定弹性网卡到弹性公网IP
        • 绑定弹性网卡到虚拟IP
        • 解绑云主机或弹性公网IP
        • 更改弹性网卡所属安全组
        • 删除弹性网卡
        • 辅助弹性网卡
        • 辅助弹性网卡简介
        • 创建辅助弹性网卡
        • 查看辅助弹性网卡基本信息
        • 绑定/解绑定辅助弹性网卡到弹性IP
        • 更改辅助弹性网卡所属安全组
        • 删除辅助弹性网卡
        • VPC流日志
        • VPC流日志简介
        • 创建VPC流日志
        • 查看VPC流日志
        • 开启/关闭VPC流日志
        • 删除VPC流日志
        • 流量镜像
        • 流量镜像概述
        • 流量镜像工作原理
        • 流量镜像应用场景
        • 流量镜像匹配规则
        • 流量镜像的配额限制
        • 流量镜像的使用限制
        • 流量镜像使用流程
        • 最佳实践
        • VPC连接
        • 公网访问
        • 公网产品
        • 对外提供服务
        • 主动访问公网
        • 常见问题
        • 通用类
        • 虚拟私有云与子网类
        • 弹性IP类
        • 带宽类
        • 连接类
        • 路由类
        • 安全类
        • 视频专区
        • 相关协议
        • 虚拟私有云服务协议
        • 文档下载
        • 操作手册
          无相关产品

          本页目录

          创建安全组

          操作场景

          预设安全组说明

          操作步骤

          添加安全组规则

          操作场景

          使用须知

          在安全组内添加安全组规则

          检查安全组规则是否生效

          帮助中心 虚拟私有云 用户指南 安全组 创建安全组与添加安全组规则
          创建安全组与添加安全组规则
          更新时间 2024-11-14 10:20:05
          • 新浪微博
          • 微信
            扫码分享
          • 复制链接
          最近更新时间: 2024-11-14 10:20:05
          下载本页

          创建安全组与添加安全组规则

          2024-11-14 02:20:05

          创建安全组

          操作场景

          安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成。

          您在创建实例时(如ECS),必须将实例加入一个安全组,如果此前您还未创建任何安全组,那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组,您还可以创建自定义安全组,并配置安全组规则控制特定流量的访问请求。

          预设安全组说明

          创建安全组的时候,您可以选择系统预设规则。安全组预设规则中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的预设规则,快速完成安全组的创建。

          预设安全组:通用Web服务器

          适用场景:

          • 外部远程登录安全组内实例;
          • 外部使用ping命令验证安全组内实例的网络连通性;
          • 安全组内实例用作Web服务器对外提供网站访问服务。
          方向 类型和协议端口 源地址/目的地址 规则说明
          入方向 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的SSH(22)端口,用于远程登录Linux实例。
          入方向 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的RDP(3389)端口,用于远程登录Windows实例。
          入方向 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTP(80)端口,用于通过HTTP协议访问网站。
          入方向 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTPS(443)端口,用于通过HTTPS协议访问网站。
          入方向 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议,允许外部所有IP访问安全组内实例的所有端口,用于外部使用ping命令验证安全组内实例的网络连通性。
          入方向 全部(IPv4)
          全部(IPv6)
          当前安全组 针对全部协议,允许安全组内实例通过内网网络相互通信。
          出方向 全部(IPv4)
          全部(IPv6)
          0.0.0.0/0
          ::/0
          针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

          预设安全组:开放全部端口

          适用场景:

          • 开放全部端口即允许任意流量出入安全组内的实例。
          注意

          此操作存在一定安全风险,请您谨慎选择。

          方向 类型和协议端口 源地址/目的地址 规则说明
          入方向 全部(IPv4)
          全部(IPv6)
          当前安全组 针对全部协议,允许安全组内实例通过内网网络相互通信。
          入方向 全部(IPv4)
          全部(IPv6)
          0.0.0.0/0
          ::/0
          针对全部协议,允许外部所有IP访问安全组内实例的所有端口,即任意流量可流入安全组内实例。
          出方向 全部(IPv4)
          全部(IPv6)
          0.0.0.0/0
          ::/0
          针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

          预设安全组:自定义

          适用场景:

          • 该预设规则的入方向未放通任何端口,即外部任意流量均无法流入安全组内实例。请您根据业务需求自行添加安全组规则。
          方向 类型和协议端口 源地址/目的地址 规则说明
          入方向 全部(IPv4)
          全部(IPv6)
          当前安全组 针对全部协议,允许安全组内实例通过内网网络相互通信。
          出方向 全部(IPv4)
          全部(IPv6)
          0.0.0.0/0
          ::/0
          针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

          操作步骤

          1. 登录管理控制台,进入“虚拟私有云>访问控制>安全组”。
          2. 在安全组列表右上方,单击“创建安全组”,进入“创建安全组”页面。
          3. 根据界面提示,设置安全组参数,设置完成后,点击“确定”,完成安全组创建。

          以下是安全组参数说明表。

          参数 参数说明 取值样例
          名称 必选参数。
          输入安全组的名称。要求如下:
          长度范围为1-64位。
          名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
          sg-AB
          模板 必选参数。
          安全组预设规则中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的预设规则,快速完成安全组的创建。
          通用Web服务器
          描述 可选参数。
          安全组的描述信息。
          描述信息内容不能超过255个字符,且不能包含“<”和“>”。
          -

          添加安全组规则

          操作场景

          安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成。常见的安全组规则应用场景包括:允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置服务器的特定访问权限等。

          使用须知

          配置安全组规则前,您需要规划好安全组内实例的访问策略。

          安全组的规则数量有限制,请您尽量保持安全组内规则的简洁。

          在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效。

          安全组入方向规则的源地址设置为0.0.0.0/0或::/0,表示允许或拒绝所有外部IP地址访问您的实例,如果将“22、3389、8848”等高危端口暴露到公网,可能导致网络入侵,造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。

          通常情况下,同一个安全组内的实例默认网络互通。当同一个安全组内实例网络不通时,可能情况如下有:

          • 当实例属于同一个VPC时,请您检查入方向规则中,是否删除了同一个安全组内实例互通对应的规则。
          • 不同VPC的网络不通,所以当实例属于同一个安全组,但属于不同VPC时,网络不通。

          在安全组内添加安全组规则

          1. 登录管理控制台,进入“虚拟私有云>访问控制>安全组”。
          2. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”,进入安全组规则配置页面。
          3. 在“入方向规则”页签,单击“添加规则”,弹出“添加入方向规则”对话框。
          4. 根据界面提示,设置入方向规则参数,单击“新增”按钮,可以依次增加多条入方向规则。
          5. 入方向规则设置完成后,单击“确定”,返回入方向规则列表,可以查看添加的入方向规则。
          6. 在“出方向规则”页签,单击“添加规则”,弹出“添加出方向规则”页签。
          7. 根据界面提示,设置出方向规则参数,单击“新增”按钮,可以依次增加多条出方向规则。
          8. 出方向规则设置完成后,单击“确定”,返回出方向规则列表,可以查看添加的出方向规则。

          下表是入、出方向规则参数说明表。

          参数 说明 取值样例
          优先级 安全组规则优先级。
          优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
          1
          入方向
          策略
          安全组规则策略,支持的策略如下:
          如果“策略”设置为允许,表示允许源地址访问安全组内云主机的指定端口。
          如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云主机的指定端口。
          安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略。
          允许
          出方向
          策略
          安全组规则策略,支持的策略如下:
          如果“策略”设置为允许,表示允许安全组内的云主机访问目的地址的指定端口。
          如果“策略”设置为拒绝,表示拒绝安全组内的云主机访问目的地址的指定端口。
          安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略。
          允许
          类型 源地址支持的IP地址类型,如下:
          IPv4
          IPv6
          IPv4
          入方向
          协议端口
          安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。
          安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。
          在入方向规则中,表示外部访问安全组内实例的指定端口。
          端口填写支持下格式:
          单个端口:例如22
          连续端口:例如22-30
          多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
          全部端口:为空或1-65535。
          TCP
          22或22-30或20,22-30
          出方向
          协议端口
          安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。
          安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。
          在出方向规则中,表示安全组内实例访问外部地址的指定端口。
          端口填写支持下格式:
          单个端口:例如22
          连续端口:例如22-30
          多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
          全部端口:为空或1-65535。
          TCP
          22或22-30或20,22-30
          源地址 在入方向规则中,用来匹配外部请求的源地址,支持以下格式:
          IP地址:表示源地址为某个固定的IP地址。当源地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
          单个IP地址:IP地址/掩码。单个IPv4地址示例为192.168.10.10/32;单个IPv6地址示例为2002:50::44/128。
          IP网段:IP地址/掩码。IPv4网段示例为192.168.52.0/24;IPv6网段示例为2407:c080:802:469::/64。
          所有IP地址:0.0.0.0/0表示匹配所有IPv4地址;::/0表示匹配所有IPv6地址。
          安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。
          IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。
          IP地址:
          192.168.52.0/24,10.0.0.0/24
          目的地址 在出方向规则中,用来匹配内部请求的目的地址。支持以下格式:
          IP地址:表示目的地址为某个固定的IP地址。当目的地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
          单个IP地址:IP地址/掩码。单个IPv4地址示例为192.168.10.10/32;单个IPv6地址示例为2002:50::44/128。
          IP网段:IP地址/掩码。IPv4网段示例为192.168.52.0/24;IPv6网段示例为2407:c080:802:469::/64。
          所有IP地址:0.0.0.0/0表示匹配所有IPv4地址;::/0表示匹配所有IPv6地址。
          安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。
          IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。
          IP地址:
          192.168.52.0/24,10.0.0.0/24
          描述 安全组规则的描述信息,非必填项。描述信息内容不能超过255个字符,且不能包含“<”和“>”。 -

          检查安全组规则是否生效

          在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效。

          假设您在某台ECS上部署了网站,希望用户能通过HTTP(80)端口访问到您的网站,则您需要先在ECS所在安全组的入方向中,添加下表中的规则,放通HTTP(80)端口。

          方向 优先级 策略 类型 协议端口 源地址
          入方向 1 允许 IPv4 自定义TCP:80 IP地址:0.0.0.0/0

          安全组规则添加完成后,您需要执行以下操作,检查云主机内端口开放情况,并验证配置是否生效。

          登录云主机,检查云主机端口开放情况。

          检查Linux云主机端口:执行命令netstat -an | grep 80,查看TCP 80端口是否被监听。

          若回显类似下图所示,说明80端口已开通。

          zh-cn_image_0143392722.png

          检查Windows云主机端口:打开命令执行窗口(CMD),执行命令netstat -an | findstr 80,查看TCP 80端口是否被监听。

          若回显类似下图所示,说明80端口已开通。

          zh-cn_image_0143294806.png

          打开浏览器,在地址栏里输入“http://云主机的弹性公网IP地址”。如果访问成功,说明安全组规则已经生效。

          分享文章
          • 新浪微博
          • 微信
            扫码分享
          • 复制链接
          本文介绍如何 添加安全组规则

          创建安全组

          操作场景

          安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成。

          您在创建实例时(如ECS),必须将实例加入一个安全组,如果此前您还未创建任何安全组,那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组,您还可以创建自定义安全组,并配置安全组规则控制特定流量的访问请求。

          预设安全组说明

          创建安全组的时候,您可以选择系统预设规则。安全组预设规则中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的预设规则,快速完成安全组的创建。

          预设安全组:通用Web服务器

          适用场景:

          • 外部远程登录安全组内实例;
          • 外部使用ping命令验证安全组内实例的网络连通性;
          • 安全组内实例用作Web服务器对外提供网站访问服务。
          方向 类型和协议端口 源地址/目的地址 规则说明
          入方向 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的SSH(22)端口,用于远程登录Linux实例。
          入方向 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的RDP(3389)端口,用于远程登录Windows实例。
          入方向 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTP(80)端口,用于通过HTTP协议访问网站。
          入方向 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTPS(443)端口,用于通过HTTPS协议访问网站。
          入方向 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议,允许外部所有IP访问安全组内实例的所有端口,用于外部使用ping命令验证安全组内实例的网络连通性。
          入方向 全部(IPv4)
          全部(IPv6)
          当前安全组 针对全部协议,允许安全组内实例通过内网网络相互通信。
          出方向 全部(IPv4)
          全部(IPv6)
          0.0.0.0/0
          ::/0
          针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。
          方向 类型和协议端口 源地址/目的地址 规则说明

          预设安全组:开放全部端口

          适用场景:

          • 开放全部端口即允许任意流量出入安全组内的实例。
          注意

          此操作存在一定安全风险,请您谨慎选择。

          方向 类型和协议端口 源地址/目的地址 规则说明
          入方向 全部(IPv4)
          全部(IPv6)
          当前安全组 针对全部协议,允许安全组内实例通过内网网络相互通信。
          入方向 全部(IPv4)
          全部(IPv6)
          0.0.0.0/0
          ::/0
          针对全部协议,允许外部所有IP访问安全组内实例的所有端口,即任意流量可流入安全组内实例。
          出方向 全部(IPv4)
          全部(IPv6)
          0.0.0.0/0
          ::/0
          针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。
          方向 类型和协议端口 源地址/目的地址 规则说明

          预设安全组:自定义

          适用场景:

          • 该预设规则的入方向未放通任何端口,即外部任意流量均无法流入安全组内实例。请您根据业务需求自行添加安全组规则。
          方向 类型和协议端口 源地址/目的地址 规则说明
          入方向 全部(IPv4)
          全部(IPv6)
          当前安全组 针对全部协议,允许安全组内实例通过内网网络相互通信。
          出方向 全部(IPv4)
          全部(IPv6)
          0.0.0.0/0
          ::/0
          针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。
          方向 类型和协议端口 源地址/目的地址 规则说明

          操作步骤

          1. 登录管理控制台,进入“虚拟私有云>访问控制>安全组”。
          2. 在安全组列表右上方,单击“创建安全组”,进入“创建安全组”页面。
          3. 根据界面提示,设置安全组参数,设置完成后,点击“确定”,完成安全组创建。

          以下是安全组参数说明表。

          参数 参数说明 取值样例
          名称 必选参数。
          输入安全组的名称。要求如下:
          长度范围为1-64位。
          名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
          sg-AB
          模板 必选参数。
          安全组预设规则中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的预设规则,快速完成安全组的创建。
          通用Web服务器
          描述 可选参数。
          安全组的描述信息。
          描述信息内容不能超过255个字符,且不能包含“<”和“>”。
          -
          参数 参数说明 取值样例

          添加安全组规则

          操作场景

          安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成。常见的安全组规则应用场景包括:允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置服务器的特定访问权限等。

          使用须知

          配置安全组规则前,您需要规划好安全组内实例的访问策略。

          安全组的规则数量有限制,请您尽量保持安全组内规则的简洁。

          在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效。

          安全组入方向规则的源地址设置为0.0.0.0/0或::/0,表示允许或拒绝所有外部IP地址访问您的实例,如果将“22、3389、8848”等高危端口暴露到公网,可能导致网络入侵,造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。

          通常情况下,同一个安全组内的实例默认网络互通。当同一个安全组内实例网络不通时,可能情况如下有:

          • 当实例属于同一个VPC时,请您检查入方向规则中,是否删除了同一个安全组内实例互通对应的规则。
          • 不同VPC的网络不通,所以当实例属于同一个安全组,但属于不同VPC时,网络不通。

          在安全组内添加安全组规则

          1. 登录管理控制台,进入“虚拟私有云>访问控制>安全组”。
          2. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”,进入安全组规则配置页面。
          3. 在“入方向规则”页签,单击“添加规则”,弹出“添加入方向规则”对话框。
          4. 根据界面提示,设置入方向规则参数,单击“新增”按钮,可以依次增加多条入方向规则。
          5. 入方向规则设置完成后,单击“确定”,返回入方向规则列表,可以查看添加的入方向规则。
          6. 在“出方向规则”页签,单击“添加规则”,弹出“添加出方向规则”页签。
          7. 根据界面提示,设置出方向规则参数,单击“新增”按钮,可以依次增加多条出方向规则。
          8. 出方向规则设置完成后,单击“确定”,返回出方向规则列表,可以查看添加的出方向规则。

          下表是入、出方向规则参数说明表。

          参数 说明 取值样例
          优先级 安全组规则优先级。
          优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
          1
          入方向
          策略
          安全组规则策略,支持的策略如下:
          如果“策略”设置为允许,表示允许源地址访问安全组内云主机的指定端口。
          如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云主机的指定端口。
          安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略。
          允许
          出方向
          策略
          安全组规则策略,支持的策略如下:
          如果“策略”设置为允许,表示允许安全组内的云主机访问目的地址的指定端口。
          如果“策略”设置为拒绝,表示拒绝安全组内的云主机访问目的地址的指定端口。
          安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略。
          允许
          类型 源地址支持的IP地址类型,如下:
          IPv4
          IPv6
          IPv4
          入方向
          协议端口
          安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。
          安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。
          在入方向规则中,表示外部访问安全组内实例的指定端口。
          端口填写支持下格式:
          单个端口:例如22
          连续端口:例如22-30
          多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
          全部端口:为空或1-65535。
          TCP
          22或22-30或20,22-30
          出方向
          协议端口
          安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。
          安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。
          在出方向规则中,表示安全组内实例访问外部地址的指定端口。
          端口填写支持下格式:
          单个端口:例如22
          连续端口:例如22-30
          多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
          全部端口:为空或1-65535。
          TCP
          22或22-30或20,22-30
          源地址 在入方向规则中,用来匹配外部请求的源地址,支持以下格式:
          IP地址:表示源地址为某个固定的IP地址。当源地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
          单个IP地址:IP地址/掩码。单个IPv4地址示例为192.168.10.10/32;单个IPv6地址示例为2002:50::44/128。
          IP网段:IP地址/掩码。IPv4网段示例为192.168.52.0/24;IPv6网段示例为2407:c080:802:469::/64。
          所有IP地址:0.0.0.0/0表示匹配所有IPv4地址;::/0表示匹配所有IPv6地址。
          安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。
          IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。
          IP地址:
          192.168.52.0/24,10.0.0.0/24
          目的地址 在出方向规则中,用来匹配内部请求的目的地址。支持以下格式:
          IP地址:表示目的地址为某个固定的IP地址。当目的地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
          单个IP地址:IP地址/掩码。单个IPv4地址示例为192.168.10.10/32;单个IPv6地址示例为2002:50::44/128。
          IP网段:IP地址/掩码。IPv4网段示例为192.168.52.0/24;IPv6网段示例为2407:c080:802:469::/64。
          所有IP地址:0.0.0.0/0表示匹配所有IPv4地址;::/0表示匹配所有IPv6地址。
          安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。
          IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。
          IP地址:
          192.168.52.0/24,10.0.0.0/24
          描述 安全组规则的描述信息,非必填项。描述信息内容不能超过255个字符,且不能包含“<”和“>”。 -
          参数 说明 取值样例

          检查安全组规则是否生效

          在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效。

          假设您在某台ECS上部署了网站,希望用户能通过HTTP(80)端口访问到您的网站,则您需要先在ECS所在安全组的入方向中,添加下表中的规则,放通HTTP(80)端口。

          方向 优先级 策略 类型 协议端口 源地址
          入方向 1 允许 IPv4 自定义TCP:80 IP地址:0.0.0.0/0
          方向 优先级 策略 类型 协议端口 源地址

          安全组规则添加完成后,您需要执行以下操作,检查云主机内端口开放情况,并验证配置是否生效。

          登录云主机,检查云主机端口开放情况。

          检查Linux云主机端口:执行命令netstat -an | grep 80,查看TCP 80端口是否被监听。

          若回显类似下图所示,说明80端口已开通。

          zh-cn_image_0143392722.png

          检查Windows云主机端口:打开命令执行窗口(CMD),执行命令netstat -an | findstr 80,查看TCP 80端口是否被监听。

          若回显类似下图所示,说明80端口已开通。

          zh-cn_image_0143294806.png

          打开浏览器,在地址栏里输入“http://云主机的弹性公网IP地址”。如果访问成功,说明安全组规则已经生效。

          上一篇 :  安全组的使用限制
          下一篇 :  修改安全组基本信息与安全组规则
          建议与反馈
          以上内容是否对您有帮助?
          有 没有
          感谢您的反馈,您的支持是我们前进的动力!
          您的操作过于频繁,清稍后再试
          文档反馈

          建议您登录后反馈,可在建议与反馈里查看问题处理进度

          鼠标选中文档,精准反馈问题

          选中存在疑惑的内容,即可快速反馈问题,我们会跟进处理

          知道了

           文本反馈

          本页目录

          创建安全组
          操作场景
          预设安全组说明
          操作步骤
          添加安全组规则
          操作场景
          使用须知
          在安全组内添加安全组规则
          检查安全组规则是否生效
          搜索
            无相关产品
            ©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
            公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
            备案 京公网安备11010802043424号 京ICP备 2021034386号
            ©2025天翼云科技有限公司版权所有
            京ICP备 2021034386号
            备案 京公网安备11010802043424号
            增值电信业务经营许可证A2.B1.B2-20090001
            用户协议 隐私政策 法律声明