安全性群組是一種虛擬防火牆,具備狀態檢測和資料包過濾能力,用於在雲端劃分安全域。通過添加安全性群組規則,您可以控制安全性群組內ECI執行個體的入流量和出流量。
安全性群組介紹
安全性群組是一個邏輯上的分組,由同一VPC內具有相同安全保護需求並相互信任的執行個體組成。通過添加安全性群組規則,安全性群組可以允許或拒絕安全性群組內ECI執行個體對公網或者私網的訪問,以及管理是否允許存取來自公網或私網的訪問請求。更多資訊,請參見安全性群組概述。
一個安全性群組可以管理同一個VPC內的多個ECI執行個體。
一個ECI執行個體必須屬於一個安全性群組。
安全性群組分為普通安全性群組和企業安全性群組。如果您對整體規模和營運效率有較高需求,建議您使用企業安全性群組。相比普通安全性群組,企業安全性群組大幅提升了組內支援容納的執行個體數量,簡化了規則配置方式。更多關於兩種安全性群組的差異資訊,請參見普通安全性群組與企業級安全性群組。
指定安全性群組
建立ECI執行個體時,必須要指定安全性群組,即必須要將ECI執行個體加入到安全性群組中。關於如何建立安全性群組,請參見建立安全性群組。
建立成功的ECI執行個體不支援修改安全性群組。如果想要變更安全性群組,需要重新建立ECI執行個體。
OpenAPI
調用CreateContainerGroup介面建立ECI執行個體時,您可以通過SecurityGroupId參數來指定安全性群組。SecurityGroupId的參數說明如下表所示。更多資訊,請參見CreateContainerGroup。
名稱 | 類型 | 樣本值 | 描述 |
SecurityGroupId | String | sg-uf66jeqopgqa9hdn**** | 指定安全性群組ID。 |
控制台
通過Elastic Container Instance售賣頁建立ECI執行個體時,必須要選擇一個安全性群組。
添加安全性群組規則
對於安全性群組內的ECI執行個體,您可以添加安全性群組規則來控制其出入流量。例如:
當ECI執行個體需要與所在安全性群組之外的網路進行通訊時,您可以添加允許訪問的安全性群組規則,實現網路互連。
在運行ECI執行個體的過程中,發現部分請求來源有惡意攻擊行為時,您可以添加拒絕訪問的安全性群組規則,實現網路隔離。
關於如何添加安全性群組規則,請參見添加安全性群組規則。