服务介绍
什么是安全组
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云主机提供访问策略。安全组创建后,用户可以在安全组中定义规则,规则将用来限制出入安全组的流量。安全组规则采用“白名单”机制,任何不符合规则的流量都将被拒绝放行。当云主机加入该安全组后,即受到这些访问规则的保护。比如,可以为实例上运行的DNS修改规则来允许通过SSH访问实例,ping通实例或者允许UDP流量。
云主机所属的安全组由该云主机上挂载的虚拟网卡所在安全组决定。
相关概念
规则方向
安全组规则方向包括入口和出口。入口方向指安全组外对象访问安全组内云主机,出口方向指安全组内云主机访问安全组外对象。
default安全组与安全组模板
default安全组是系统默认创建的安全组。安全组模板用于定义default安全组的初始规则。默认状态下,default安全组包括四条规则,如表-1所示,实现出口和入口上的流量全部放行。系统管理员可以通过编辑安全组模板自定义default安全组的初始规则。每个组织的default安全组对该组织内所有用户可见。
创建云主机时,系统默认为云主机指定default安全组,用户也可以选择使用已经创建好的自定义安全组。在云主机创建完成后,可以通过编辑虚拟网卡所属安全组变更所属安全组,也可以通过配置安全组规则为default安全组配置更多规则。
表-1 default安全组的初始规则
|
方向 |
IP协议类型 |
协议 |
端口 |
远程 |
|
入口 |
IPv6 |
Any |
Any |
::/0 |
|
入口 |
IPv4 |
Any |
Any |
0.0.0.0/0 |
|
出口 |
IPv6 |
Any |
Any |
::/0 |
|
出口 |
IPv4 |
Any |
Any |
0.0.0.0/0 |
自定义安全组
自定义安全组是指由用户自己创建的安全组,组织管理员创建的安全组普通用户无法使用,普通用户创建的安全组组织管理员可以进行管理。您可以在创建云主机前提前创建好自定义安全组,以便在创建云主机过程中选择。自定义安全组在刚创建完时默认自带两条出口方向规则,如表-2所示,不带入口方向规则,实现拒绝所有入口方向流量、放行所有出口方向流量。用户可根据需求在安全组中添加或删除规则,并可以将自定义安全组与虚拟网卡绑定,实现对云主机的防护。
|
方向 |
IP协议类型 |
协议 |
端口 |
远程 |
|
出口 |
IPv6 |
Any |
Any |
::/0 |
|
出口 |
IPv4 |
Any |
Any |
0.0.0.0/0 |
表-3 自定义安全组运营权限说明
|
|
“l”表示可见,”¡”表示不可见,”--”表示部分可见。 |
|
创建者角色 |
系统管理员 |
组织管理员 |
组织内的普通用户 (创建者角色为普通用户时,此项不包含创建者) |
|
普通用户 |
l |
l |
¡ |
|
组织管理员 |
l |
--(该组织的组织管理员可见,该组织的下级组织的组织管理员不可见) |
¡ |
|
系统管理员 |
l |
--(根组织的组织管理员可见,根组织的下级组织的组织管理员不可见) |
¡ |
与其它云服务的关系
表-4 安全组与其它云服务的关系
|
服务 |
关系 |
|
云主机 |
云主机加入安全组后受安全组规则保护,限制出入流量。 |
|
虚拟网卡 |
虚拟网卡是云主机和安全组产生联系的媒介,若要云主机加入或退出安全组,编辑云主机网卡所属安全组即可。 |
使用限制
每块虚拟网卡虽然可以绑定多个安全组,但只有其中一个会实际生效。生效的安全组依赖于虚拟化平台的获取次序,与配置界面中的显示次序及安全组名称次序无关。因此建议每个虚拟网卡只绑定一个安全组,否则无法判断生效的是哪个安全组,易造成混乱。
安全组暂时只支持CAS,部分CAS版本最多支持128条安全组规则。
安全组(default安全组或自定义安全组)占用组织配额。
虚拟网卡绑定多个安全组时,只能随机下发一个安全组。