不同安全组内的弹性云服务器内网互通
场景举例:
在同一个VPC内,用户需要将某个安全组内一台弹性云主机上与另一个安全组内的一台弹性云主机间共享数据, 设置为内网互通。
由于同一个VPC内,在同一个安全组内的弹性云服务器默认互通,无需配置。但是,在不同安全组内的弹性云服务器默认无法通信,此时需要添加安全组规则,使得不同安全组内的弹性云主机内网互通。
安全组配置方法:
在云服务器所在安全组中添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通。
例如安全组sg-A内的云服务器访问安全组sg-B内的Oracle数据库服务,您需要通过在安全组sg-B中添加一条入方向规则,放通Oracle(1521)端口,允许来自安全组sg-A内云服务器的请求进入。安全组规则如下所示。
| IP版本 | 授权策略 | 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| IPv4 | 允许 | TCP | 入方向 | 1521 | 安全组:sg-A |
仅允许特定IP 地址远程连接弹性云主机
场景举例:
为了防止弹性云主机被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。
安全组配置方法:
以仅允许特定IP地址(例如,192.168.20.2)通过SSH协议访问Linux操作系统的弹性云主机的22端口为例,安全组规则如下所示。
| IP版本 | 授权策略 | 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| IPv4 | 允许 | TCP | 入方向 | 22 | 192.168.20.2 |
SSH远程连接Linux弹性云主机
场景举例:
创建好Linux弹性云主机后,为了通过SSH远程连接到弹性云主机,您可以添加安全组规则。
安全组配置方法:
| IP版本 | 授权策略 | 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| IPv4 | 允许 | TCP | 入方向 | 22 | 0.0.0.0/0 |
RDP远程连接Windows弹性云主机
场景举例:
创建好Windows弹性云主机后,为了通过RDP远程连接弹性云主机,您可以添加安全组规则。
安全组配置方法:
| IP版本 | 授权策略 | 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| IPv4 | 允许 | TCP | 入方向 | 3389 | 0.0.0.0/0 |
注意源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器,为了确保安全,建议您遵循最小原则,根据实际情况将源IP设置为特性的IP地址。
使用ping命令验证网络连通性
场景举例:
安全组默认拒绝所有来自外部的请求,创建好弹性云主机后,您可以使用ping程序测试弹性云主机之间的通讯状况,则您需要添加安全组规则放通ICMP协议端口。
安全组配置方法:
| IP版本 | 授权策略 | 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| IPv4 | 允许 | ICMP | 入方向 | Any | 0.0.0.0/0 |
弹性云主机做Web服务器
场景举例:
如果您在弹性云主机上部署了网站,即弹性云主机作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在弹性云主机所在安全组中添加以下安全组规则。
安全组配置方法:
| IP版本 | 授权策略 | 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| IPv4 | 允许 | TCP | 入方向 | 80(HTTP) | 0.0.0.0/0 |
| IPv4 | 允许 | TCP | 入方向 | 443(HTTPS) | 0.0.0.0/0 |
弹性云主机做DNS服务器
场景举例:
如果您将弹性云主机设置为DNS服务器,则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要在弹性云服务器所在安全组中添加以下安全组规则。
安全组配置方法:
| IP版本 | 授权策略 | 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| IPv4 | 允许 | TCP | 入方向 | 53 | 0.0.0.0/0 |
| IPv4 | 允许 | UDP | 入方向 | 53 | 0.0.0.0/0 |
使用FTP上传或下载文件
场景举例:
如果您需要在本地服务器远程连接云服务器上传或下载文件,您需要添加安全组规则,放通FTP(20、21)端口。
安全组配置方法:
您需要在弹性云主机上先安装FTP服务器程序,再查看20、21端口是否正常工作。
| IP版本 | 授权策略 | 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| IPv4 | 允许 | TCP | 入方向 | 20-21 | 0.0.0.0/0 |
负载均衡健康检查:
场景举例:
对于负载均衡,为保证健康检查正常进行,需要确保服务器安全组已经放通LB内网的地址段。
安全组配置方法:
| 类型 | 协议 | 授权策略 | 方向 | 端口范围 | 源地址 | 说明 |
|---|---|---|---|---|---|---|
| IPv4 | Any | 允许 | 入方向 | 1-65535 | 100.89.0.0/16 | 放通ELB内网IPv4地址段 |
| IPv6 | Any | 允许 | 入方向 | 1-65535 | 100::2:0:0:6459:0/112 | 放通ELB内网IPv6地址段 |
对于多可用区资源池来说,目前部分资源池已在默认安全组中放通,实际情况以控制台展示为准。
VPC终端节点服务:
场景举例:
对于VPC终端节点,为保证终端节点服务正常进行,需要确保终端节点服务所在后端弹性云主机的安全组已经放通VPCE用的内网地址段(198.19.128.0/20)。
安全组配置方法:
| 类型 | 协议 | 授权策略 | 方向 | 端口范围 | 源地址 | 说明 |
|---|---|---|---|---|---|---|
| IPv4 | Any | 允许 | 入方向 | 1-65535 | 198.19.128.0/20 | 放通VPCE的内网IPv4地址段 |
| IPv6 | Any | 允许 | 入方向 | 1-65535 | 100::7:0:0:c613:8000/116 | 放通VPCE的内网IPv6地址段 |
对于多可用区资源池来说,目前部分资源池已在默认安全组中放通,实际情况以控制台展示为准。
