安全组
安全组概述
安全组是在VPC网络内为BCC实例和DCC专属实例、负载均衡实例、云数据库实例中创建的安全防火墙,定义IP+端口的入站和出站访问策略,从而提高云服务器、负载均衡、云数据库等实例的安全性。
安全组分为普通安全组和企业安全组,功能概述如下:
| 功能 | 普通安全组 | 企业安全组 |
|---|---|---|
| 安全组无任何规则 | 入方向:拒绝所有访问请求 出方向:拒绝所有访问请求 |
入方向:拒绝所有访问请求 出方向:拒绝所有访问请求 |
| 新建安全组默认规则 | 入方向:拒绝所有访问请求 出方向:允许所有访问请求 |
入方向:拒绝所有访问请求 出方向:允许所有访问请求 |
| 安全组规则策略 | 仅支持允许策略 | 支持允许、拒绝策略 |
| 设置规则优先级 | 纯白名单机制,无优先级 | 取值范围1-1000,可以与已有条目重复。数值越小,优先级越高,规则匹配顺序为按优先级由高到低匹配。若拒绝与允许的优先级相同,则拒绝优先 |
| Source或Target选择安全组 | 支持 | 不支持 |
| 关联实例数量 | 无限制 | 无限制 |
| 实例关联多个安全组 | 所有规则逐一匹配,有一条规则允许则允许 | 将关联的多个企业安全组中的所有规则按优先级重新排序,按优先级大小匹配规则,若允许拒绝策略的优先级相同,则拒绝优先 |
| 使用场景 | 适用于运维成本更低的场景 | 适用于网络控制更精细化的场景 |
配置前您需要了解:
- 每个默认VPC最多能创建100个安全组;
- 每个普通VPC最多能创建20个安全组;
- 每个BCC实例最多只能与10个安全组关联,如果某个BCC实例关联了多个安全组,则此BCC实例生效的规则是已关联安全组所有规则的合集。
- 当安全组配额已用完时,按钮置灰,不可创建;
- 创建安全组时,可通过“端口设置”的“入站”和“出站”页签设置详细规则。
- 每个安全组最多允许添加50个入站规则和50个出站规则。
- 每个vpc会自动创建一个默认安全组,默认安全组无法删除,可以增、删、改规则。仅默认安全组提供一键恢复初始设置按钮。
- 删除安全组的情况下需要取消安全组和实例之间的关联。
- 当一个BCC实例仅关联有一个安全组时,该安全组不能取消关联。
- 同一个实例不支持同时关联普通安全组和企业安全组两种类型。
创建安全组
1.选择“产品服务>私有网络 VPC”,在左侧导航栏选择“安全组”。
2.点击“创建安全组”,进入“创建安全组”界面。
3.选择所在网络,根据要求输入安全组名称和描述。
4.选择端口设置方式,入站和出站的规则设置分为两个独立页签,规则设置有如下方式:
- “允许访问所有端口”为OFF状态,可选择“添加规则”进行入站和出站的规则设置。
- “允许访问所有端口”为OFF状态且没有添加规则,将导致云服务器无法与外界通信。此时只能通过远程VNC登录访问云服务器,因此请慎重选择该选项。
- 允许访问所有端口”为ON状态,将使云服务器的所有服务端口完全暴露在网络环境下,此时可能会面临一定的安全风险,因此请慎重选择该选项。
说明:
在添加规则时,若Source或Target选择的是安全组,则表示源IP或目的IP为关联该安全组的实例的内网IP,不包含安全组规则。
5.点击“确定”,弹出“安全组详情”页面,完成安全组的创建。
编辑安全组
用户可对安全组名称、描述、端口设置和关联服务器等信息进行编辑。
说明:
为了保障系统安全,建议用户不要更改“默认安全组”的相关配置,如果需要其他权限的安全组机制,可以新建安全组并与云服务的实例进行绑定。
- 选择“产品服务>私有网络 VPC”,在左侧导航栏选择“安全组”。
- 点击安全组名称,进入安全组详情页面。
- 针对需要修改规则的“协议”,点击对应操作后的“编辑”按键进行修改。
安全组规则导出
用户可将安全组规则导出,用于本地备份。
- 选择“产品服务>私有网络 VPC”,在左侧导航栏选择“安全组”。
- 点击安全组名称,进入安全组详情页面。
- 点击“导出”,将规则文件保存到本地。
安全组规则导入
用户可将导出的安全组规则文件导入到安全组中,用于安全组的快速创建及恢复。
- 选择“产品服务>私有网络 VPC”,在左侧导航栏选择“安全组”。
- 点击安全组名称,进入安全组详情页面。
- 点击“导入”,选择已有.csv格式的安全组规则文件。
- 点击“确认”,导入安全组规则。
说明:
如需自定义安全组规则,可先将安全组规则导出,参考其格式进行编辑。
复制安全组
用户可通过复制安全组功能,快速创建一组同样规则的安全组。
- 选择“产品服务>私有网络 VPC”,在左侧导航栏选择“安全组”,进入安全组列表页。
- 在需要复制的安全组后,点击“操作”列的“复制”按键,弹出“复制安全组”的界面。
- 点击“确定”,完成安全组信息的复制。
删除安全组
当用户不需要该安全组时,可删除安全组。用户可对未关联的自定义安全组进行直接删除;已关联的安全组需要先取消关联然后才可进行删除。
- 选择“产品服务>私有网络 VPC”,在左侧导航栏选择“安全组”,进入安全组列表页。
- 勾选需要删除安全组,点击“删除”按钮。
- (可选)取消和云服务器实例的关联,具体请参考取消关联安全组。
- 未关联的安全组,点击“确定”,直接删除该安全组信息。
说明:
用户也可以批量删除安全组。在安全组列表中选中需要删除的安全组点击“删除”即可。
关联安全组
用户创建安全组后还需要将该安全组关联绑定到对应的云服务器上,这样该云服务器才能按安全组规则的设定实现网络访问控制功能。可以从安全组侧关联实例,也可以从实例侧关联安全组。
说明:
若需要改变实例关联的安全组类型,比如当前关联的普通安全组需要改为关联企业安全组,请到实例列表页面操作关联安全组。
安全组侧关联实例
- 选择“产品服务>私有网络 VPC”,在左侧导航栏选择“安全组”。
- 点击安全组名称,进入安全组详情页面。
- 在关联实例列表上方点击“关联云服务器”按键进行关联。
实例侧关联安全组
以关联BCC操作为例,给出详细的操作步骤供参考。
- 选择“产品服务>云服务器 BCC”,可看到用户已创建的云服务器列表。
- 选择需要关联安全组的实例,当勾选多个实例时,系统将进行批量关联。
- 点击"关联安全组"按钮,弹出“关联安全组”对话框。
- 选择需要关联的安全组名称。
- 点击“确定”,完成云服务器实例和安全组的关联。
取消关联安全组
当某个BCC实例需要切换到其它安全组时,需要取消原有安全组的关联关系。一个BCC实例必须关联至少一个安全组。可以从安全组侧取消关联实例,也可以从实例侧取消关联安全组。
安全组侧取消关联实例
- 选择“产品服务>私有网络 VPC”,在左侧导航栏选择“安全组”。
- 点击安全组名称,进入安全组详情页面。
- 在关联实例列表操作列,点击“取消关联”按键进行关联。
实例侧取消关联安全组
1.选择“产品服务>云服务器 BCC”,进入“实例列表”界面。
2.在“实例名称”下,选择相应的链接,进入“实例详情”页签。
3.选择“安全组”页签,下拉页面到“关联的安全组列表”区域。
4.点击“取消关联”,取消实例和相应安全组之间的关联。