服务介绍
什么是安全组
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后,用户可以在安全组中定义规则;规则用于限制出入安全组的流量,对于匹配规则的流量将按照指定动作进行放行或拦截。当弹性云主机加入该安全组后,即受到这些访问规则的保护。比如,可以为实例上运行的DNS修改规则来允许通过SSH访问实例,ping通实例或者允许UDP流量。
弹性云主机所属的安全组由该弹性云主机上挂载的弹性网卡所在安全组决定。一个弹性云主机可以加入多个安全组,与安全组内的弹性云主机都可以互相访问。
相关概念
规则方向
安全组规则方向包括入口和出口。入口方向指安全组外对象访问安全组内的弹性云主机,出口方向指安全组内弹性云主机访问安全组外对象。
系统预配置规则是系统默认创建的安全组规则,如表-1所示,实现出口和入口上的流量全部放行。在创建安全组的时候,可以勾选需要的规则;创建安全组之后可通过新建安全组规则为安全组配置更多规则。
|
方向 |
授权对象 |
协议 |
端口范围 |
|
入口 |
0.0.0.0/0 |
TCP |
80/80 |
|
入口 |
0.0.0.0/0 |
TCP |
443/443 |
|
入口 |
0.0.0.0/0 |
TCP |
22/22 |
|
入口 |
0.0.0.0/0 |
TCP |
3389/3389 |
|
入口 |
0.0.0.0/0 |
ICMP |
-1/-1 |
|
出口 |
0.0.0.0/0 |
Any |
-1/-1 |
|
|
0.0.0.0/0表示所有IPv4地址;ANY表示所有协议类型;-1/-1端口表示所有端口。 |
弹性网卡
弹性网卡是一种虚拟的网络接口,需绑定到VPC内的弹性云主机实例上使用。通过弹性网卡,可以灵活对弹性云主机的网络进行规划管理。弹性网卡分为主网卡与辅助网卡。
主网卡:随弹性云主机实例一起创建,生命周期与实例保持一致,主网卡不支持与弹性云主机解绑,也不支持删除。
辅助网卡:辅助网卡是弹性云主机的扩展网卡,可以随实例一起创建并绑定,也可以单独创建,自由绑定到实例上或从实例上解绑。
同一弹性云主机实例的辅助网卡与主网卡可以属于不同的安全组。
可以通过安全组界面为安全组添加云主机实例和解绑安全组关联实例功能更改弹性云主机实例主网卡的安全组;辅助网卡可以通过为安全组添加辅助网卡实例和解绑安全组关联实例功能绑定和解绑安全组。
有关弹性网卡的详细内容,请参见弹性网卡。
与其他云服务的关系
表-2 安全组与其他云服务的关系
|
服务 |
关系 |
|
弹性云主机 |
弹性云主机加入安全组后受安全组规则保护,限制出入流量。 |
|
弹性网卡 |
弹性网卡是弹性云主机和安全组产生联系的媒介,若要弹性云主机加入或退出安全组,编辑弹性云主机的弹性网卡所属安全组即可。 |