什么条件下可以删除安全组?
- 删除安全组前,需要确保该安全组没有与任何云资源相关联。如果安全组被云资源(云主机、物理机等)使用,请先释放对应云资源或者修改云资源使用的安全组,然后再尝试删除安全组。
- 删除安全组时,若该安全组被另一个安全组规则关联(例如“源地址”选择为该安全组),需先删除或修改关联的安全组规则,然后再尝试删除该安全组。
- 地域资源池的默认安全组不能删除。
弹性云主机加入安全组过后能否变更安全组?
可以。
变更安全组的详细操作,请参考实例加入/移出安全组页面。
您也可以选择在弹性云主机的详情页执行变更安全组的操作,具体请参考“查看弹性弹性云主机的安全组”页面。
安全组、ACL服务是否收费?
安全组和ACL服务均免费。
安全组和ACL服务均免费,但与安全组、ACL搭配使用的其他云产品(例如弹性云主机)将会按照其自身的计费规则收取相应的费用,详情请参见加入安全组或ACL的云产品帮助文档计费章节。例如:
| 云产品 | 计费说明 |
|---|---|
| 弹性云主机 | 计费说明 |
| 物理机 | 计费说明 |
变更安全组规则时,是否对原有流量实时生效?
对于可用区资源池,安全组规则配置变更,对于原有流量不会立刻生效。用户需断开变更规则所影响的流量后,再重新建立连接,变更后的规则才能对流量生效。
对于可用区资源池来说,安全组是有状态的,即无论安全组入方向的规则如何,都允许对出方向流量的响应流入实例,反之亦然。在安全组规则增加或删除时,或者该安全组下实例创建、删除时,会自动清除该安全组下所有实例原来的连接跟踪,此时,流入或流出实例的流量会被当做新的连接,需要重新匹配相应入方向或出方向的安全组规则,以保证规则能立即生效,从而保障流入实例的流量的安全。
对于地域资源池,安全组规则配置变更连接状态会立即生效,地域资源池会保证规则优先,如果规则有变更则会立即生效。
如何判断安全组规则是否重复?
当您的协议、类型、端口范围、源/目的地址均相同时,将判断您的规则为重复规则,且不允许下发。当添加或导入规则时,如果安全组中已存在相同规则,则对应的规则将无法添加。
安全组创建成功后,当您的云服务器需要与外部网络通讯时,您可根据业务需求自定义添加新的出方向、入方向安全组规则,这可以帮助保护服务器免受未经授权的访问。
- 原则上,安全组规则取最小权限原则,通过设置所需的端口和协议,限制对必要IP地址的访问。只允许最少必要的流量进出您的资源实例。
- 定期更新安全组规则,以适应您的业务需求的变化。不再需要的规则应被删除,根据业务变化添加新的安全组规则。
如何查看安全组关联的云服务器?
方法1:在云服务器对应的管理控制台进行查看。
点击云服务器名称进入详情页,在安全组页签下查看云服务器关联的安全组详情。
方法2:在安全组详情页的关联实例页签下查看云服务器。
点击目标的安全组名称进入详情页,在“关联实例”页签下查看该安全组所关联的云服务器,支持变更云服务器与安全组之间的关联关系。
无法访问公有云的某些端口时怎么办?
问题现象 :访问公有云特定端口,在部分地区部分运营商无法访问,而其他端口访问正常。
问题分析 :部分运营商判断如下表的端口为高危端口,默认被屏蔽无法访问。
| 协议 | 端口 |
|---|---|
| TCP | 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 |
| UDP | 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996 |
解决方法 :建议您修改敏感端口为其他非高危端口来承载业务。
为什么网络 ACL添加了拒绝特定IP地址访问的规则,但仍可以访问?
网络ACL存在规则优先级。优先级的数值越小,表示优先级越高。针对可用区资源池来讲,“- -”表示默认规则,优先级最低。
多个网络ACL规则冲突,优先级高的规则生效,优先级低的不生效。
ACL规则的优先级是默认生成的,先添加的规则默认优先级最高。优先级支持手动调整,您可在ACL详情中点击调整规则按钮,在弹窗中选择要调整的规则,拖拽到需调整的位置即可。
当您需要拒绝某个IP地址的访问时,可以将其优先级设置为最高优先级,拒绝特定IP地址访问的规则将优先生效。具体操作请参见调整ACL规则优先级。
为什么配置的安全组规则不生效?
问题现象
为云服务器配置的安全组规则未生效。
问题分析
当配置规则不生效时,建议从以下几个原因去排查问题,可以优先排查高频率原因。
- 安全组配置有误;
- 安全组规则与ACL规则的配置有冲突;
- 云服务器防火墙的限制。
安全组配置错误
当安全组规则配置有误时,无法满足期望的业务流量。您可以按照以下几点原因对安全组配置进行检查:
- 安全组规则方向设置错误,例如将需要在入方向添加的规则添加到出方向规则下。
- 安全组规则协议类型未选择正确。
- 对应端口为高危端口,在部分地区部分运营商无法访问,建议您修改敏感端口为其他非高危端口来承载业务。
- 对应端口未开通。在服务器中需要被正常监听的端口未放通。
- 例如,需要通过TCP(80端口)访问到您的服务器,可以在入方向规则放通TCP,80端口。您可以通过登录弹性云服务器查看安全组规则是否生效。
- 以Linux弹性云服务器为例,运行如下命令查看TCP 80端口是否被监听。
netstat -an | grep 80
- 对于地域资源池来说,需要保证云服务器属于同一VPC。不同的VPC之间默认网络隔离,安全组需在网络互通的情况下生效。您可以使用对等连接等产品建立VPC连接互通,使得安全组能对不同VPC内云服务器的流量进行访问控制。
网络ACL规则与安全组规则冲突
安全组是一种虚拟防火墙,主要控制云服务器的进出流量,网络ACL是子网级别的安全防护,保障关联子网内的资源安全。
例如当您设置了安全组入方向规则放通80端口,同时设置的网络ACL规则包含拒绝80端口的规则,那么从结果上看80端口仍然无法访问。
云服务器防火墙限制
查看云服务器的防火墙是否限制了需要开放的端口。关于云防火墙的访问控制策略配置可参考添加防护规则。
提交工单
如果上述方法均不能解决您的疑问,请提交工单寻求更多帮助。
