操作场景
安全组类似防火墙功能,是一个逻辑上的分组,用于设置网络访问控制。用户可以在安全组中定义各种访问规则,当云耀云服务器加入该安全组后,即受到这些访问规则的保护。
- 入方向:入方向规则放通入方向网络流量,指从外部访问安全组规则下的云耀云服务器。
- 出方向:出方向规则放通出方向网络流量。指安全组规则下的云耀云服务器访问安全组外的实例。
默认安全组规则请参见。常用的安全组规则配置示例请参见安全组配置示例。
云耀云服务器l实例配置安全组规则
- 登录。
- 单击云耀云服务器l实例卡片,进入资源页面。
- 在左侧列表中单击“云耀云服务器l实例”,单击云服务器名称,进入云服务器详情页面。
- 在“安全组”页签,选择配置“入方向规格”,单击“添加规则”,添加入方向规则。
入方向规则参数说明详见
表1。
图1 添加入方向规则
- 在“安全组”页签,选择配置“出方向规格”,单击“添加规则”,添加出方向规则。
出方向规则参数说明详见表2。
- 单击“确定”,完成安全组规则配置。
云耀云服务器x实例配置安全组规则
- 登录,单击左上角的选择区域和项目。
- 在云耀云服务器列表,单击待变更安全组规则的云耀云服务器名称。
系统跳转至该云耀云服务器详情页面。
- 在服务器详情页面,选择“安全组”页签,查看安全组规则。
- 单击“配置规则”。
系统自动跳转至安全组规则配置页面。
- 在“入方向规则”页签,单击“添加规则”。
弹出“添加入方向规则”对话框。
- 根据界面提示,设置入方向规则参数。
单击“ ”按钮,可以依次增加多条入方向规则。入方向规则参数说明详见表1。
图2 添加入方向规则
- 在“出方向规则”页签,单击“添加规则”。
弹出“添加出方向规则”页签。
- 根据界面提示,设置出方向规则参数。
单击“ ”按钮,可以依次增加多条出方向规则。出方向规则参数说明详见表2。
- 单击“确定”,完成安全组规则配置。
入方向规则及出方向规则参数说明
表1 入方向规则参数说明
参数 |
说明 |
取值样例 |
优先级 |
安全组规则优先级。 优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。 |
1 |
策略 |
安全组规则策略,支持的策略如下:
- 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
- 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。
优先级相同的情况下,拒绝策略优先于允许策略。 |
允许 |
类型 |
|
ipv4 |
协议端口 |
安全组规则中用来匹配流量的网络协议类型。 目前支持“all”、“tcp”、“udp”和“icmp”等协议。 |
tcp |
安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。 在入方向规则中,表示外部访问安全组内实例的指定端口。
端口填写支持下格式:
- 单个端口:例如22
- 连续端口:例如22-30
- 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
- 全部端口:为空或1-65535
|
22或22-30或20,22-30 |
源地址 |
源地址是入方向规则中,用来匹配外部请求的地址,支持以下格式:
- ip地址:表示源地址为某个固定的ip地址。当源地址选择ip地址时,您可以在一个ip地址框内同时输入多个ip地址,一个ip地址对应一条安全组规则。
- 单个ip地址:ip地址/掩码。
单个ipv4地址示例为192.168.10.10/32。 单个ipv6地址示例为2002:50::44/128。
- ip网段:ip地址/掩码。
ipv4网段示例为192.168.52.0/24。 ipv6网段示例为2407:c080:802:469::/64。
- 所有ip地址:
0.0.0.0/0表示匹配所有ipv4地址。 ::/0表示匹配所有ipv6地址。
- 安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择当前帐号下,同一个区域内的其他安全组。当安全组a内有实例a,安全组b内有实例b,在安全组a设置入方向规则时的“策略”为允许,源地址选择安全组b时,表示来自实例b的内网访问请求被允许进入实例a。
- ip地址组:表示源地址为一个ip地址组,ip地址组是一个或者多个ip地址的集合。您可以在下拉列表中,选择可用的ip地址组。对于安全策略相同的ip网段和ip地址,此处建议您使用ip地址组简化管理。
|
ip地址:0.0.0.0/0 |
描述 |
安全组规则的描述信息,非必填项。 描述信息内容不能超过255个字符,且不能包含“<”和“>”。 |
- |
表2 出方向规则参数说明
参数 |
说明 |
取值样例 |
优先级 |
安全组规则优先级。 优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。 |
1 |
策略 |
安全组规则策略,支持的策略如下:
- 如果“策略”设置为允许,表示允许安全组内的云服务器访问目的地址的指定端口。
- 如果“策略”设置为拒绝,表示拒绝安全组内的云服务器访问目的地址的指定端口。
优先级相同的情况下,拒绝策略优先于允许策略。 |
允许 |
类型 |
|
ipv4 |
协议端口 |
安全组规则中用来匹配流量的网络协议类型。 目前支持“all”、“tcp”、“udp”和“icmp”等协议。 |
tcp |
安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。 在出方向规则中,表示安全组内实例访问外部的指定端口。
端口填写支持下格式:
- 单个端口:例如22
- 连续端口:例如22-30
- 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
- 全部端口:为空或1-65535
|
22或22-30或20,22-30 |
目的地址 |
目的地址是出方向规则中,用来匹配内部请求的地址,支持以下格式:
- ip地址:表示目的地址为某个固定的ip地址。当目的地址选择ip地址时,您可以在一个ip地址框内同时输入多个ip地址,一个ip地址对应一条安全组规则。
- 单个ip地址:ip地址/掩码。
单个ipv4地址示例为192.168.10.10/32。 单个ipv6地址示例为2002:50::44/128。
- ip网段:ip地址/掩码。
ipv4网段示例为192.168.52.0/24。 ipv6网段示例为2407:c080:802:469::/64。
- 所有ip地址:
0.0.0.0/0表示匹配所有ipv4地址。 ::/0表示匹配所有ipv6地址。
- 安全组:表示目的地址为另外一个安全组,您可以在下拉列表中,选择当前帐号下,同一个区域内的其他安全组。当安全组a内有实例a,安全组b内有实例b,在安全组a设置出方向规则时的“策略”为允许,目的地址选择安全组b时,表示实例a内部的请求被允许出去访问实例b。
- ip地址组:表示目的地址为一个ip地址组,ip地址组是一个或者多个ip地址的集合。您可以在下拉列表中,选择可用的ip地址组。对于安全策略相同的ip网段和ip地址,此处建议您使用ip地址组简化管理。
|
ip地址:0.0.0.0/0 |
描述 |
安全组规则的描述信息,非必填项。 描述信息内容不能超过255个字符,且不能包含“<”和“>”。 |
- |
结果验证
安全组规则配置完成后,需要验证对应的规则是否生效。假设您在云耀云服务器上部署了网站,希望用户能通过http(80端口)访问到您的网站,您添加了一条入方向规则,如表3所示。
表3 安全组规则
方向 |
协议/应用 |
端口 |
源地址 |
入方向 |
tcp |
80 |
0.0.0.0/0 |
linux云耀云服务器
linux云耀云服务器上验证该安全组规则是否生效的步骤如下所示。
- 登录云耀云服务器。
- 运行如下命令查看tcp 80端口是否被监听。
netstat -an | grep 80
如果返回结果如图3所示,说明tcp 80端口已开通。
图3 linux tcp 80端口验证结果
- 在浏览器地址栏里输入“http://云耀云服务器的弹性公网ip地址”。
如果访问成功,说明安全组规则已经生效。
删除常用安全组规则的影响
在“入方向规则”和“出方向规则”页签,您也可以对已有的规则进行修改、复制或删除。
删除安全组规则会导致部分功能无法使用:
- 删除tcp(20-21)规则会导致无法通过ftp协议向云服务器上传或下载文件。
- 删除icmp规则会导致使用ping程序测试云服务器无法连通。
- 删除tcp(443)规则会导致无法使用https协议访问网站。
- 删除tcp(80)规则会导致无法使用http协议访问网站。
- 删除tcp(22)规则会导致无法通过ssh协议远程连接到linux操作系统云服务器。
- 删除tcp(3389)规则会导致无法通过rdp协议远程连接windows操作系统云服务器。