操作场景
安全组创建成功后,当您的云服务器需要与外部网络通讯时,您可根据业务需求自定义添加新的出方向、入方向安全组规则,这可以帮助保护服务器免受未经授权的访问。
入方向:指从外部访问安全组规则下的弹性云主机。
出方向:指安全组规则下的弹性云主机访问安全组外的实例。
安全组规则有数量限制,您应尽量保持规则的精简。
前提条件
- 注册天翼云账号,并完成实名认证。具体操作,请参见天翼云账号注册流程。
- 您已经完成安全组的创建。
操作步骤
- 登录控制中心。
- 在控制中心页面左上角点击
,选择区域,本文我们选择华东-华东1。 - 依次选择“网络”,单击“虚拟私有云”;进入网络控制台页面。
- 在左侧导航栏,选择“访问控制-安全组”选项。
- 在安全组列表页面,找到您需要添加规则的安全组名称,点击安全组名称,进入安全组详情页。
- 点击“添加规则”,根据界面提示配置安全组规则,确定授权策略、优先级、协议类型、端口范围、源/目的地址等信息。
具体参数配置信息如下表:
参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,级别越高。 1 协议 网络协议,取值范围为:TCP,UDP,ICMP,Any。 TCP 端口范围 安全组规则的端口范围,取值范围为:1~65535。支持同时输入多个端口,以英文逗号分隔。多个端口值按照多条规则分别下发,占用多个配额。 22或22-30 源地址/目的地址 源地址/目的地址支持类型:IP地址、安全组、前缀列表。支持同时输入多个IP地址/安全组/前缀列表,按照多条规则分别下发,占用多个配额。
1、IP地址:支持IP地址,地址格式:0.0.0.0/0(任意IPv4地址)、::/0(任意IPv6地址)。
2、安全组:表示源地址/目的地址选择当前帐号下同一个区域内的安全组。部分资源池支持选择安全组,实际情况以控制台展现为准。
当安全组A内有实例a,安全组B内有实例b,在安全组A设置入方向规则时,“策略”为允许,源地址选择安全组B,则表示来自实例b的内网访问请求被允许进入实例a。
同一安全组内云服务器实例内网互访默认是隔离状态,如您有同一安全组内的云服务器之间互通的需求,您可以在添加安全组规则时配置一条引用本安全组的规则,实现组内互通。
3、前缀列表:表示源地址/目的地址选择当前帐号下同一区域内的前缀列表。部分可用区资源池支持选择前缀列表,实际情况以控制台展现为准。
当源地址/目的地址为前缀列表时,前缀列表所占用的安全组规则数等于前缀列表的最大条目数 。
如果跨地域克隆安全组时,引用前缀列表的安全组规则不支持克隆到目标区域新的安全组中 。
0.0.0.0/0 描述 安全组规则的描述信息,非必填项。
- 点击“确认”按钮。
注意1、对于可用区资源池来说,TCP、UDP报文分片后,分片不带有端口信息,安全过滤策略会丢弃头包之后的其他分片包。目前不支持IPv4协议和IPv6协议类型的TCP、UDP分片大包进行指定端口过滤。您如果有大包报文需要过安全组时,需要将端口范围指定为1-65535,不进行指定端口过滤。
2、对于地域资源池来说,目前仅支持IPv4协议类型的TCP、UDP大包分片报文进行指定端口过滤,不支持IPv6协议类型。该功能尚在内测期间,部分资源池尚未支持,实际情况以控制台展示为准。
3、支持同时输入多个IP地址/安全组/前缀列表和多个端口,每一个地址/端口对应一条安全组规则。例如您配置了20,22端口,源地址为192.168.0.0/32,100.89.0.0/16的入向规则,那么您将会配置成4条规则,同时占用4条规则配额。即端口20,地址192.168.0.0/32;端口20,地址100.89.0.0/16;端口22,地址192.168.0.0/32;端口22,地址100.89.0.0/16。
操作指引
- 关于使用安全组时的一些常见类问题,可参考常见问题“安全类”。
- 关于配置安全组规则放通弹性云主机对应的常见端口,可参考文档“云主机的常用端口”。
- 关于TCP、UDP数据包过安全组的问题,可参考文档“TCP、UDP数据包过安全组的特殊说明”。
- 关于前缀列表的详细说明,请参考“前缀列表概述”。
