添加安全组规则-凯发k8国际娱乐官网入口
操作场景
安全组实际是网络流量访问策略,通过访问策略可以控制流量入方向规则和出方向规则,通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。
- 入方向规则:入方向指外部访问安全组内实例的指定端口。
当外部请求匹配上安全组中入方向规则的源地址,并且策略为“允许”时,允许该请求进入,其他请求一律拦截。
因此,默认情况下,您一般不用在入方向配置策略为“拒绝”的规则,因为不匹配“允许”规则的请求均会被拦截。
- 出方向规则:出方向指安全组内实例访问外部的指定端口。
在出方向中配置目的地址匹配所有ip地址的规则,并且策略为“允许”时,允许所有的内部请求出去。
0.0.0.0/0表示匹配所有ipv4地址。
::/0表示匹配所有ipv6地址。
如果实例关联的安全组策略无法满足使用需求,比如需要开放某个tcp端口,您可以参考以下操作,通过在入方向规则添加端口,从而打开指定的tcp端口。
安全组规则配置示例
- 系统为您提供默认安全组,默认安全组规则请参见,如果默认安全组规则无法满足您的需求,您可以修改安全组规则。
- 配置安全组规则前,您需要规划好安全组内实例的访问策略,常见安全组规则配置案例,请您参考。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击
,选择区域和项目。 - 在页面左上角单击
图标,打开服务列表,选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。
- 在左侧导航栏,选择“访问控制 > 安全组”。
进入安全组列表页面。
- 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。
进入安全组规则配置页面。
- 在“入方向规则”页签,单击“添加规则”。
弹出“添加入方向规则”对话框。
- 根据界面提示,设置入方向规则参数。
单击“ ”按钮,可以依次增加多条入方向规则。
图1 添加安全组入方向规则
表1 入方向规则参数说明 参数
说明
取值样例
优先级
安全组规则优先级。
优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
1
策略
安全组规则策略,支持的策略如下:- 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
- 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。
优先级相同的情况下,拒绝策略优先于允许策略。
允许
类型
源地址支持的ip地址类型,如下:- ipv4
- ipv6
ipv4
协议端口
安全组规则中用来匹配流量的网络协议类型。
目前支持“all”、“tcp”、“udp”和“icmp”等协议。
tcp
安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。
在入方向规则中,表示外部访问安全组内实例的指定端口。
端口填写支持下格式:- 单个端口:例如22
- 连续端口:例如22-30
- 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
- 全部端口:为空或1-65535
22或22-30或20,22-30
源地址
源地址是入方向规则中,用来匹配外部请求的地址,支持以下格式:- ip地址:表示源地址为某个固定的ip地址。当源地址选择ip地址时,您可以在一个ip地址框内同时输入多个ip地址,一个ip地址对应一条安全组规则。
- 单个ip地址:ip地址/掩码。
单个ipv4地址示例为192.168.10.10/32。
单个ipv6地址示例为2002:50::44/128。
- ip网段:ip地址/掩码。
ipv4网段示例为192.168.52.0/24。
ipv6网段示例为2407:c080:802:469::/64。
- 所有ip地址:
0.0.0.0/0表示匹配所有ipv4地址。
::/0表示匹配所有ipv6地址。
- 单个ip地址:ip地址/掩码。
- 安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择当前帐号下,同一个区域内的其他安全组。当安全组a内有实例a,安全组b内有实例b,在安全组a设置入方向规则时的“策略”为允许,源地址选择安全组b时,表示来自实例b的内网访问请求被允许进入实例a。
- ip地址组:表示源地址为一个ip地址组,ip地址组是一个或者多个ip地址的集合。您可以在下拉列表中,选择可用的ip地址组。对于安全策略相同的ip网段和ip地址,此处建议您使用ip地址组简化管理。
ip地址:0.0.0.0/0
描述
安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-
- 入方向规则设置完成后,单击“确定”。
返回入方向规则列表,可以查看添加的入方向规则。
- 在“出方向规则”页签,单击“添加规则”。
弹出“添加出方向规则”页签。
- 根据界面提示,设置出方向规则参数。
单击“ ”按钮,可以依次增加多条出方向规则。
图2 添加安全组出方向规则
表2 出方向规则参数说明 参数
说明
取值样例
优先级
安全组规则优先级。
优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
1
策略
安全组规则策略,支持的策略如下:- 如果“策略”设置为允许,表示允许安全组内的云服务器访问目的地址的指定端口。
- 如果“策略”设置为拒绝,表示拒绝安全组内的云服务器访问目的地址的指定端口。
优先级相同的情况下,拒绝策略优先于允许策略。
允许
类型
目的地址支持的ip地址类型,如下:- ipv4
- ipv6
ipv4
协议端口
安全组规则中用来匹配流量的网络协议类型。
目前支持“all”、“tcp”、“udp”和“icmp”等协议。
tcp
安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。
在出方向规则中,表示安全组内实例访问外部的指定端口。
端口填写支持下格式:- 单个端口:例如22
- 连续端口:例如22-30
- 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
- 全部端口:为空或1-65535
22或22-30或20,22-30
目的地址
目的地址是出方向规则中,用来匹配内部请求的地址,支持以下格式:- ip地址:表示目的地址为某个固定的ip地址。当目的地址选择ip地址时,您可以在一个ip地址框内同时输入多个ip地址,一个ip地址对应一条安全组规则。
- 单个ip地址:ip地址/掩码。
单个ipv4地址示例为192.168.10.10/32。
单个ipv6地址示例为2002:50::44/128。
- ip网段:ip地址/掩码。
ipv4网段示例为192.168.52.0/24。
ipv6网段示例为2407:c080:802:469::/64。
- 所有ip地址:
0.0.0.0/0表示匹配所有ipv4地址。
::/0表示匹配所有ipv6地址。
- 单个ip地址:ip地址/掩码。
- 安全组:表示目的地址为另外一个安全组,您可以在下拉列表中,选择当前帐号下,同一个区域内的其他安全组。当安全组a内有实例a,安全组b内有实例b,在安全组a设置出方向规则时的“策略”为允许,目的地址选择安全组b时,表示实例a内部的请求被允许出去访问实例b。
- ip地址组:表示目的地址为一个ip地址组,ip地址组是一个或者多个ip地址的集合。您可以在下拉列表中,选择可用的ip地址组。对于安全策略相同的ip网段和ip地址,此处建议您使用ip地址组简化管理。
ip地址:0.0.0.0/0
描述
安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-
- 出方向规则设置完成后,单击“确定”。
返回出方向规则列表,可以查看添加的出方向规则。
验证安全组规则是否生效
安全组规则配置完成后,您需要添加的规则是否生效。假设您在弹性云服务器上部署了网站,希望用户能通过http(80)访问到您的网站,则您需要在安全组入方向添加对应的规则,放通对应的端口,如表3所示。
方向 |
优先级 |
策略 |
类型 |
协议端口 |
源地址 |
|---|---|---|---|---|---|
入方向 |
1 |
允许 |
ipv4 |
自定义tcp: 80 |
0.0.0.0/0 |
linux弹性云服务器
执行以下步骤,在linux弹性云服务器上验证该安全组规则是否生效。
- 登录弹性云服务器。
- 执行以下命令,查看tcp 80端口是否被监听。
netstat -an | grep 80
若回显类似图3,说明tcp 80端口已开通。
图3 linux tcp 80端口验证结果
- 打开浏览器,在地址栏里输入“http://弹性云服务器的弹性公网ip地址”。
如果访问成功,说明安全组规则已经生效。
windows弹性云服务器
windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示。
- 登录弹性云服务器。
- 通过“开始菜单 > 运行 > cmd”,打开命令执行窗口。
- 执行以下命令,查看tcp 80端口是否被监听。
netstat -an | findstr 80
若回显类似图4,说明tcp 80端口已开通。
图4 windows tcp 80端口验证结果
- 打开浏览器,在地址栏里输入“http://弹性云服务器的弹性公网ip地址”。
如果访问成功,说明安全组规则已经生效。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
