安全组
最近更新时间: 2023-02-06 08:26:05
# 前提条件
添加用户 AccessKey 成功,参考AccessKey 的添加 (opens new window) 。
# 概述
# 阿里云安全组
安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内云主机实例的入流量和出流量。
# 安全组定义
安全组是一个逻辑上的分组,由同一地域内具有相同安全保护需求并相互信任的实例组成。
- 一台云主机实例至少属于一个安全组,可以同时加入多个安全组。
- 一个安全组可以管理同一个地域内的多台云主机实例。
- 在没有设置允许访问的安全组规则的情况下,不同安全组内的云主机实例之间默认内网不通。
- 安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是 910 秒。安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。
# 安全组类型
安全组分为普通安全组和企业安全组。下表列举了两种类型安全组的功能差异。
| 功能 | 普通安全组 | 企业安全组 |
|---|---|---|
| 支持所有实例规格 | 是 | 否,实例网络类型必须是专有网络 VPC |
| 网络类型 | 专有网络 VPC 和经典网络 | 仅专有网络 VPC |
| 未添加任何规则时的访问策略 | 入方向:拒绝所有访问请求出方向:允许所有访问请求 | 入方向:拒绝所有访问请求出方向:拒绝所有访问请求 |
| 默认安全组规则 | 入方向:放行 80、443、22、3389 及 ICMP 协议,可修改出方向:允许所有访问请求 | 入方向:放行 80、443、22、3389 及 ICMP 协议,可修改出方向:拒绝所有访问请求 |
| 手动添加安全组规则 | 可按需添加允许或拒绝策略的规则 | 仅可按需添加允许策略的规则 |
| 设置规则优先级 | 默认值为 1,可修改 | 固定为 1,不支持修改 |
| 授权给其他安全组 | 支持组组授权 | 不支持组组授权 |
| 支持绑定弹性网卡到任意实例规格 | 否,实例网络类型必须是专有网络 VPC | 否,实例网络类型必须是专有网络 VPC |
| 能容纳的私网 IP 地址数量 | 2000 | 65536 |
| 同一个安全组内实例之间的网络连通策略 | 默认内网互通 | 默认内网隔离,需要您手动添加安全组规则 |
| 适用场景 | 适用于对网络精细化控制要求较高、希望使用多种 ECS 实例规格、以及网络连接数适中的用户场景。 | 适用于对运维效率、ECS 实例规格以及计算节点的规模有更高需求的用户场景。 |
# 创建安全组(阿里云示例)
# 操作流程
点击左侧导航栏中安全组>创建安全组,进入创建安全组页面,按照表单要求填写。
点击创建,创建成功。