安全组配置示例-凯发k8国际娱乐官网入口
本章节为您介绍一些常用的安全组的配置示例,包括远程登录云服务器,对外提供网站访问、不同安全组内实例内网互通等。
安全组的出方向规则一般默认全部放通,即允许安全组内实例访问外部的所有请求出去,配置说明如表1所示。
规则方向 |
优先级 |
策略 |
类型 |
协议端口 |
目的地址 |
描述 |
|---|---|---|---|---|---|---|
出方向规则 |
100 |
允许 |
ipv4 |
全部 |
0.0.0.0/0 |
针对全部ipv4协议,允许安全组内的实例可访问外部ip的所有端口。 |
出方向规则 |
100 |
允许 |
ipv6 |
全部 |
::/0 |
针对全部ipv6协议,允许安全组内的实例可访问外部ip的所有端口。 |
允许外部访问宝塔面板
- 场景举例:
使用宝塔面板应用镜像创建云耀云服务器l实例后,为了可以正常访问宝塔面板,请放通8888端口。
宝塔面板的更多安全组规则详见。
- 安全组配置方法:
方向
协议/应用
端口
源地址
入方向
tcp
8888
0.0.0.0/0
从本地服务器远程登录云服务器
安全组默认拒绝所有来自外部的请求,如果您需要从本地服务器远程登录云服务器,那么需要根据您的云服务器操作系统类型,在安全组入方向添加对应的规则。
- 通过ssh远程登录linux云服务器,需要放通ssh(22)端口,请参见表2。
- 通过rdp远程登录windows云服务器,需要放通rdp(3389)端口,请参见表3。
表2 通过ssh远程登录linux云服务器 规则方向
优先级
策略
类型
协议端口
源地址
入方向规则
1
允许
ipv4
自定义tcp: 22
ip地址:0.0.0.0/0
表3 通过rdp远程登录windows云服务器 规则方向
优先级
策略
类型
协议端口
源地址
入方向规则
1
允许
ipv4
自定义tcp: 3389
ip地址:0.0.0.0/0
源地址设置为0.0.0.0/0表示允许所有外部ip远程登录云服务器,为了确保安全,建议您遵循最小原则,根据实际情况将源ip设置为特性的ip地址,配置示例请参见表4。
表4 通过特定ip地址远程登录云服务器 云服务器类型
规则方向
优先级
策略
类型
协议端口
源地址
linux云服务器
入方向规则
1
允许
ipv4
自定义tcp: 22
ip地址:192.168.0.0/24
windows云服务器
入方向规则
1
允许
ipv4
自定义tcp: 3389
ip地址:10.10.0.0/24
在本地服务器远程连接云服务器上传或者下载文件
安全组默认拒绝所有来自外部的请求,如果您需要在本地服务器远程连接云服务器上传或者下载文件,那么您需要开通ftp(20、21)端口。
规则方向 |
优先级 |
策略 |
类型 |
协议端口 |
源地址 |
|---|---|---|---|---|---|
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 20-21 |
ip地址:0.0.0.0/0 |
您需要在云服务器上先安装ftp服务器程序,再查看20、21端口是否正常工作。安装ftp服务器的操作请参见、。
在云服务器上搭建网站对外提供web服务
安全组默认拒绝所有来自外部的请求,如果您在云服器上搭建了可供外部访问的网站,则您需要在安全组入方向添加对应的规则,放通对应的端口,例如http(80)、https(443)。
规则方向 |
优先级 |
策略 |
类型 |
协议端口 |
源地址 |
|---|---|---|---|---|---|
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 80 |
ip地址:0.0.0.0/0 |
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 443 |
ip地址:0.0.0.0/0 |
使用ping命令验证网络连通性
安全组默认拒绝所有来自外部的请求,如果您需要在云服器上使用ping命令验证网络的连通性,则您需要在安全组入方向添加对应的规则,放通icmp端口。
规则方向 |
优先级 |
策略 |
类型 |
协议端口 |
源地址 |
|---|---|---|---|---|---|
入方向规则 |
1 |
允许 |
ipv4 |
icmp: 全部 |
ip地址:0.0.0.0/0 |
入方向规则 |
1 |
允许 |
ipv6 |
icmp: 全部 |
ip地址:::/0 |
不同安全组内实例内网网络互通
同一个vpc内,位于不同安全组内的实例网络不通。如果您需要在同一个vpc内的实例之间共享数据,比如安全组sg-a内的云服务器访问安全组sg-b内的mysql数据库,您需要通过在安全组sg-b中添加一条入方向规则,放通mysql (3306)端口,允许来自安全组sg-a内云服务器的请求进入。
规则方向 |
优先级 |
策略 |
类型 |
协议端口 |
源地址 |
|---|---|---|---|---|---|
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 3306 |
安全组:sg-a |
云服务器提供数据库访问服务
安全组默认拒绝所有来自外部的请求,如果您在云服器上部署了数据库服务,允许其他云服务器通过内网访问数据库服务,则您需要在部署数据库云服务器所在的安全组内,添加入方向规则,放通对应的端口,例如mysql(3306)、oracle(1521)、ms sql(1433)、postgresql(5432)、redis(6379)。
规则方向 |
优先级 |
策略 |
类型 |
协议端口 |
源地址 |
描述 |
|---|---|---|---|---|---|---|
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 3306 |
安全组:sg-a |
允许安全组sg-a内云服务器访问mysql数据库服务。 |
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 1521 |
安全组:sg-b |
允许安全组sg-b内云服务器访问oracle数据库服务。 |
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 1433 |
ip地址:172.16.3.21/32 |
允许私网ip地址为172.16.3.21的云服务器访问ms sql数据库服务。 |
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 5432 |
ip地址:192.168.0.0/24 |
允许私网ip地址属于192.168.0.0/24网段的云服务器访问postgresql数据库服务。 |
入方向规则 |
1 |
允许 |
ipv4 |
自定义tcp: 6379 |
ip地址组:ipgroup-a |
允许私网ip地址属于ip地址组ipgroup-a范围内的云服务器访问postgresql数据库服务。 |
本示例中源地址提供的配置仅供参考,请您根据实际需求设置源地址。
限制云服务器访问外部网站
安全组的出方向规则一般默认全部放通,默认规则如表11所示。如果您需要限制服务器只能访问特定网站,则按照如下要求配置:
- 首先,您需要遵循白名单规则,在安全组出方向规则中添加指定的端口和ip地址。
表10 不同安全组内实例内网互通 规则方向
优先级
策略
类型
协议端口
源地址
出方向规则
1
允许
ipv4
自定义tcp: 80
ip地址:132.15.xx.xx
出方向规则
1
允许
ipv4
自定义tcp: 443
ip地址:145.117.xx.xx
- 其次,删除安全组出方向中原有放通全部流量的规则,如表11所示。
表11 安全组默认出方向规则 规则方向
优先级
策略
类型
协议端口
目的地址
描述
出方向规则
100
允许
ipv4
全部
0.0.0.0/0
针对全部ipv4协议,允许安全组内的实例可访问外部ip的所有端口。
出方向规则
100
允许
ipv6
全部
::/0
针对全部ipv6协议,允许安全组内的实例可访问外部ip的所有端口。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
