安全组概述
更新时间:2024-07-02
安全组是在VPC网络内为BCC实例、DCC实例、负载均衡实例和云数据库实例创建的安全防火墙,定义IP+端口的入站和出站访问策略,从而提高云服务器、负载均衡、云数据库等实例的安全性。
什么是安全组
安全组是一种虚拟防火墙,能够控制BCC实例的出入站流量。您可以通过配置安全组规则,允许或禁止安全组内实例的出流量和入流量。
安全组分为普通安全组和企业安全组,功能概述如下:
| 功能 | 普通安全组 | 企业安全组 |
|---|---|---|
| 安全组无任何规则 | 入方向:拒绝所有访问请求 出方向:拒绝所有访问请求 |
入方向:拒绝所有访问请求 出方向:拒绝所有访问请求 |
| 新建安全组默认规则 | 入方向:拒绝所有访问请求 出方向:允许所有访问请求 |
入方向:拒绝所有访问请求 出方向:允许所有访问请求 |
| 安全组规则策略 | 仅支持允许策略 | 支持允许、拒绝策略 |
| 设置规则优先级 | 纯白名单机制,无优先级 | 取值范围1-1000,可以与已有条目重复。数值越小,优先级越高,规则匹配顺序为按优先级由高到低匹配。若拒绝与允许的优先级相同,则拒绝优先 |
| Source(源)或Target(目的)选择安全组 | 支持 | 不支持 |
| 关联实例数量 | 无限制 | 无限制 |
| 实例关联多个安全组 | 所有规则逐一匹配,有一条规则允许则允许 | 将关联的多个企业安全组中的所有规则按优先级重新排序,按优先级大小匹配规则,若允许拒绝策略的优先级相同,则拒绝优先 |
| 使用场景 | 适用于运维成本更低的场景 | 适用于网络控制更精细化的场景 |
使用限制
- 每个VPC会自动创建一个默认普通安全组,默认普通安全组无法删除,可以增、删、改规则。仅默认安全组提供一键恢复初始设置按钮。
- 每个BCC实例最多只能与10个安全组关联,如果某个BCC实例关联了多个安全组,则此BCC实例生效的规则是已关联安全组所有规则的合集。
- 每个安全组最多允许添加50个入站规则和50个出站规则。
- 当一个BCC实例仅关联有一个安全组时,该安全组不能取消关联。
- 同一个实例不支持同时关联普通安全组和企业安全组两种类型。
安全组规则
组成部分
安全组规则包括以下组成部分:
- 规则方向:出方向或入方向。
- 类型:IPv4或IPv6。
- 协议类型和端口:TCP、UDP、ICMP等。
- 来源/目的:普通安全组支持选择IP或安全组,企业安全组仅支持选择IP。
- 策略:企业安全组支持选择策略:允许或拒绝。普通安全组仅支持允许策略。
- 优先级:企业安全组支持设置规则的优先级1-1000,数值越小,优先级越高
常用操作
若您想要新创建安全组,可参见创建安全组。
若您创建安全组后想关联至BCC实例上,可参见关联安全组。
若您想将BCC实例移出安全组,可参见取消关联安全组。