# 前提条件

添加用户 AccessKey 成功,参考AccessKey 的添加 (opens new window)

# 概述

# 阿里云安全组

安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内云主机实例的入流量和出流量。

# 安全组定义

安全组是一个逻辑上的分组,由同一地域内具有相同安全保护需求并相互信任的实例组成。

  • 一台云主机实例至少属于一个安全组,可以同时加入多个安全组。
  • 一个安全组可以管理同一个地域内的多台云主机实例。
  • 在没有设置允许访问的安全组规则的情况下,不同安全组内的云主机实例之间默认内网不通。
  • 安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是 910 秒。安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。

# 安全组类型

安全组分为普通安全组和企业安全组。下表列举了两种类型安全组的功能差异。

功能 普通安全组 企业安全组
支持所有实例规格 否,实例网络类型必须是专有网络 VPC
网络类型 专有网络 VPC 和经典网络 仅专有网络 VPC
未添加任何规则时的访问策略 入方向:拒绝所有访问请求出方向:允许所有访问请求 入方向:拒绝所有访问请求出方向:拒绝所有访问请求
默认安全组规则 入方向:放行 80、443、22、3389 及 ICMP 协议,可修改出方向:允许所有访问请求 入方向:放行 80、443、22、3389 及 ICMP 协议,可修改出方向:拒绝所有访问请求
手动添加安全组规则 可按需添加允许或拒绝策略的规则 仅可按需添加允许策略的规则
设置规则优先级 默认值为 1,可修改 固定为 1,不支持修改
授权给其他安全组 支持组组授权 不支持组组授权
支持绑定弹性网卡到任意实例规格 否,实例网络类型必须是专有网络 VPC 否,实例网络类型必须是专有网络 VPC
能容纳的私网 IP 地址数量 2000 65536
同一个安全组内实例之间的网络连通策略 默认内网互通 默认内网隔离,需要您手动添加安全组规则
适用场景 适用于对网络精细化控制要求较高、希望使用多种 ECS 实例规格、以及网络连接数适中的用户场景。 适用于对运维效率、ECS 实例规格以及计算节点的规模有更高需求的用户场景。

# 创建安全组(阿里云示例)

# 操作流程

  1. 点击左侧导航栏中安全组>创建安全组,进入创建安全组页面,按照表单要求填写。

  2. 点击创建,创建成功。