本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络的安全组设置说明。
- 创建安全组和添加安全组规则的详细操作,请参见创建安全组和添加安全组规则。
- 常用端口,请参见常用端口的典型应用。
- 案例 1:同一个地域、同一个账号下的实例实现内网互通
场景举例:如果您需要同一个地域、同一个账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。
- 案例 2:同一个地域、不同账号下的实例实现内网互通
场景举例:如果您需要同一个地域、不同账号下的 ECS 实例之间拷贝资源,您可以通过安全组设置实现两台 ECS 实例内网互通后再拷贝资源。
- 案例 3:只允许特定 IP 地址远程登录到实例
场景举例:如果您的 ECS 实例被黑客远程控制,您可以修改远程登录端口号,并设置只允许特定的 IP 地址远程登录到您的 ECS 实例。
- 案例 4:只允许实例访问外部特定 IP 地址
场景举例:如果您的 ECS 实例被黑客远程控制,对外恶意扫描或发包,您可以通过安全组设置您的 ECS 实例只能访问外部特定 IP 或端口。
- 案例 5:拒绝实例访问外部特定 IP 地址
场景举例:如果您不希望您的 ECS 实例访问某个特定的外部 IP 地址,您可以通过安全组设置,拒绝实例访问外部特定 IP 地址。
- 案例 6:允许公网远程连接实例
场景举例:您可以通过公网远程连接到实例上,管理实例。
- 案例 7:允许内网其他账号下某个安全组内的 ECS 实例远程连接实例
场景举例:您可以通过内网其他账号下某个安全组内的 ECS 实例远程连接到实例上,管理实例。
- 案例 8:允许公网通过 HTTP、HTTPS 等服务访问实例
场景举例:您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站。
案例 1:同一个地域、同一个账号下的实例实现内网互通
- 如果在同一个安全组内,默认内网互通,不需要设置。
- 如果在不同的安全组内,默认内网不通。此时,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。根据网络类型做不同的安全组规则设置:
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 专有网络 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组 ID 经典网络 内网
对于 VPC 网络类型的 ECS 实例,如果它们在同一个 VPC 网络内,可以通过安全组规则实现内网互通。如果 ECS 实例不在同一个 VPC 内(无论是否属于同一个账号或在同一个地域里),您可以使用高速通道实现 VPC 互通。
案例 2:同一个地域、不同账号下的实例实现内网互通
此案例仅适用于经典网络类型的 ECS 实例。
UserA 在华东 1 有一台经典网络类型的 ECS 实例 InstanceA(内网 IP:A.A.A.A),InstanceA 所属的安全组为 GroupA。
UserB 在华东1有一台经典网络的 ECS 实例 InstanceB(内网 IP:B.B.B.B),InstanceB 所属的安全组为 GroupB。
您需要在 GroupA 和 GroupB 中分别添加安全组规则,授权 InstanceA 和 InstanceB 内网互通。
- 在 GroupA 中添加安全组规则,授权 InstanceB 内网访问 InstanceA,如下表所示。
网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 - 在 GroupB 中添加安全组规则,授权 InstanceA 内网访问 InstanceB,如下表所示。
网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择
安全组访问;如果选择
地址段访问,则仅支持单 IP 授权,授权对象的格式只能是
a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,子网掩码必须是 /32。
案例 3:只允许特定IP地址远程登录到实例
- Linux 实例
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 - Windows 实例
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 RDP(3389) 3389/3389 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网
案例 4:只允许实例访问外部特定 IP 地址
- 禁止实例以任何协议访问所有公网 IP 地址,优先级应低于允许访问的规则(如本例中设置优先级为 2)。安全组规则如下表所示。
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 - 允许实例访问特定公网 IP 地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为 1)。
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的 IP 地址,说明安全组规则已经生效。
案例 5:拒绝实例访问外部特定IP地址
| 网络类型 | 网卡类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权类型 | 授权对象 | 优先级 |
|---|---|---|---|---|---|---|---|---|
| VPC | 不需要配置 | 出方向 | 拒绝 | 全部 | -1/-1 | 地址段访问 | 拒绝实例访问的特定公网IP地址,如1.2.3.4。 | 1 |
| 经典网络 | 公网 |
案例 6:允许公网远程连接实例
| 网络类型 | 网卡类型 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权类型 | 授权对象 | 优先级 |
|---|---|---|---|---|---|---|---|---|
| VPC | 不需要配置 | 入方向 | 允许 | Windows:RDP(3389) | 3389/3389 | 地址段访问 | 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见案例 2:只允许特定IP地址远程登录到实例。 | 1 |
| Linux:SSH(22) | 22/22 | |||||||
| 自定义TCP | 自定义,如8080/8080 | |||||||
| 经典网络 | 公网 | 入方向 | 允许 | Windows:RDP(3389) | 3389/3389 | 地址段访问 | 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见案例 2:只允许特定IP地址远程登录到实例。 | 1 |
| Linux:SSH(22) | 22/22 | |||||||
| 自定义TCP | 自定义,如8080/8080 |
自定义远程连接端口的详细操作,请参见服务器默认远程端口修改。
案例 7:允许内网其他账号下某个安全组内的 ECS 实例远程连接实例
- 允许内网其他账号某个实例内网 IP 地址连接您的实例,您需要添加如下安全组规则。其中,VPC 网络类型实例先保证 2 个账号的实例通过高速通道内网互通,再添加安全组规则。
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义,如8080/8080 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义,如8080/8080 - 允许内网其他账号某个安全组里的所有 ECS 实例连接您的实例,您需要添加如下安全组规则。其中,VPC 类型的实例,先保证 2 个账号的实例通过高速通道内网互通,再添加如下表所示的安全组规则。
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义,如8080/8080 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义,如8080/8080
案例 8:允许公网通过 HTTP、HTTPS 等服务访问实例
- 允许公网上所有IP地址访问您的网站。
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 - 允许公网上部分 IP 地址访问您的网站。
网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 允许访问您网站的主机的公网IP地址,可以为一个或多个公网IP地址。 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 允许访问您网站的主机的公网IP地址,可以为一个或多个公网IP地址。 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080
- 如果您无法通过
http://公网 IP 地址访问您的实例,请参见检查 TCP 80 端口是否正常工作。 - 80 端口是 HTTP 服务默认端口。如果要使用其他端口,如 8080 端口,您必须修改 Web 服务器配置文件中监听端口设置,具体操作,请参见修改 nginx/Tomcat 等 Web 服务的端口监听地址或ECS Windows Server 修改 IIS 监听的 IP 地址。
发布者:佚, 佚名,转转请注明出处:https://www.cms2.cn/aliyun/2335.html
微信扫一扫
相关推荐
-
公网IP转换为弹性公网IP
本文档描述了如何将专有网络(VPC)类型的ECS实例分配的公网IP转换为弹性公网IP(EIP),使公网IP地址可以保留,同时又能随时与实例解绑或绑定。 约束限制 VPC类型的ECS实例的公网IP转为EIP有以下限制: 仅支持分配了公网IP地址的VPC类型的ECS实例。 仅支持处于…
-
ImageType
镜像信息的类型。 节点名 Image 子节点 名称 类型 描述 ImageId String 镜像编码 ImageVersion String 镜像版本 OSType String 操作系统类型,可选值有: windows linux Platform String 操作系统平台…
-
步骤 3:连接ECS实例
创建ECS实例后,您可以通过多种方式连接并登录ECS实例。本文介绍在ECS管理控制台使用管理终端快速连接并登录ECS实例,以便进行本地管理。 操作步骤 关于管理终端的详情和更多连接方式,请参见 连接实例 章节。 登录 ECS管理控制台。 在左侧导航栏,单击 实例。 选择地域,本示…
-
执行命令
创建云助手命令后,您可以在一台或者多台实例中执行命令。多台实例间的执行状态和执行结果互相不影响,您还可以为命令设置执行周期。 使用限制 在一个阿里云地域下,您每天最多能执行500次云助手命令。 一次执行命令操作最多可以选择50台实例。 目标实例的状态必须处于执行中(Running…
-
解绑标签
如果某个标签已经不再适用于您的资源管理,您可以解绑标签与资源。 使用说明 解绑后,如果标签已经不再绑定其他资源,标签会自动删除。 您可以使用删除标签功能单个或批量解绑标签与实例。 说明 阿里云目前仅为实例提供了这个功能。其他类型的资源没有这个功能。 您可以使用编辑标签功能逐个解绑…
-
预留实例券匹配规则
预留实例券需要匹配按量付费实例才能体现账单优势,本文为您介绍预留实例券的匹配规则和常见操作。 预留实例券匹配规则 您无法手动管理预留实例券和按量付费实例的匹配状态。购买预留实例券后,在有效期内预留实例券将自动匹配按量付费实例,匹配要素包括:操作系统、实例规格和范围。 如果您的账号…
