全部產品
Search

搜尋本產品

    Elastic Compute Service:普通安全性群組與企業級安全性群組

    文件中心

    Elastic Compute Service:普通安全性群組與企業級安全性群組

    更新時間:Oct 13, 2024

    安全性群組按照類型劃分為普通安全性群組和企業級安全性群組,兩者均免費。在安全性群組容量、能否添加授權安全性群組的規則以及預設存取控制規則等方面有一定差異,適用於不同的使用情境。本文主要介紹普通安全性群組與企業級安全性群組的特點和區別。

    說明

    當一台ECS執行個體或一塊彈性網卡關聯多個安全性群組時,這些安全性群組只能是普通安全性群組或企業級安全性群組中的一種類型,不能混合關聯普通安全性群組和企業級安全性群組。

    單個安全性群組能容納的私網IP地址數量

    在您將ECS執行個體、彈性網卡、ECI執行個體等資源關聯到安全性群組時,這些資源將會佔用安全性群組的私網IP地址容量。需要注意的是,單個資源的私網IP數量會有一個或多個。

    具體的容量對比如下表所示:

    安全性群組類型

    單個安全性群組能容納的私網IP地址數量

    普通安全性群組

    • VPC網路:2000,支援自助申請提高到6000。

      說明

      您可以在配額中心找到專用網路普通安全性群組內的私網IP地址數量上限配額項進行申請。具體操作,請參見建立配額提升申請

    • 傳統網路:1000。

    企業級安全性群組

    VPC網路:65536。

    說明

    企業級安全性群組不支援傳統網路。

    在VPC網路下,相比於普通安全性群組,企業級安全性群組可以容納更多的私網IP地址數量。如果您叢集中的私網IP數量較多,普通安全性群組無法容納,阿里雲建議您使用企業級安全性群組。

    支援安全性群組作為授權對象

    安全性群組作為授權對象,是指添加一條安全性群組規則,規則的授權對象為一個安全性群組ID。

    安全性群組類型

    支援安全性群組作為授權對象

    說明

    普通安全性群組

    您可以添加授權對象為其他普通安全性群組的規則。能夠添加的授權安全性群組的規則有數量限制,最多不能超過20條。更多資訊,請參見安全性群組使用限制

    企業級安全性群組

    您不能添加授權對象為安全性群組的規則,也不能將企業級安全性群組作為其他安全性群組規則中的授權對象。

    支援組內互連功能

    普通安全性群組的組內互連功能,可以理解為一種授權本安全性群組內ECS執行個體內網訪問的特殊規則。您可以通過修改組內連通策略,來開啟或關閉普通安全性群組的組內互連功能。在企業級安全性群組中,安全性群組內的ECS執行個體預設組內隔離,您不能將企業級安全性群組的內網連通原則設定為組內互連。

    安全性群組類型

    支援修改組內連通策略

    普通安全性群組

    是,預設組內互連

    說明

    如果您需要限制ECS執行個體之間的網路通訊以確保網路安全性,您可以通過ECS控制台修改普通安全性群組的組內連通策略。詳細資料,請參見修改普通安全性群組的組內連通策略

    企業級安全性群組

    否,預設組內隔離

    預設存取控制規則

    普通安全性群組和企業級安全性群組的預設存取控制規則有所不同,普通安全性群組的組內連通策略,會影響其預設存取控制規則。安全性群組的預設存取控制規則是不可見的,與您自訂的安全性群組規則,共同作用如下:

    說明

    下文中的序號用於表示規則排序後的順序,決定流量能否通過時,按照序號依次匹配。

    普通安全性群組

    組內連通策略為組內互連(預設)

    • 入方向

      如下表所示,在普通安全性群組的組內連通策略為組內互連時,不論安全性群組自訂規則如何配置,同安全性群組內其他ECS執行個體通過內網訪問的流量將被允許存取(序號1)。其他流量,如果與安全性群組自訂規則匹配,將按照規則指定的授權策略,允許或拒絕允許存取(序號2)。否則,將會被拒絕訪問(序號3)。

      序號(優先順序順序)

      規則類型

      流量類型

      處理動作

      1

      預設存取控制規則(不可見)

      同安全性群組內其他ECS執行個體,通過內網訪問的流量

      允許

      2

      自訂規則

      排序後多個安全性群組自訂規則匹配的流量

      允許或拒絕(根據授權策略)

      3

      預設存取控制規則(不可見)

      其他任何流量

      拒絕

    • 出方向

      如下表所示,普通安全性群組出方向流量,如果與安全性群組出方向規則匹配,將按照規則指定的授權策略,允許或拒絕允許存取(序號1)。否則,其他任何出方向流量,將會被允許允許存取(序號2)。

      序號(優先順序順序)

      規則類型

      流量類型

      處理動作

      1

      自訂規則

      排序後多個安全性群組自訂規則匹配的流量

      允許或拒絕(根據授權策略)

      2

      預設存取控制規則(不可見)

      其他任何流量

      允許

    組內連通策略為組內隔離

    • 入方向

      如下表所示,在普通安全性群組的組內連通策略為組內隔離時,同安全性群組內其他ECS執行個體流量不再被預設允許存取。如果入方向流量與安全性群組自訂規則匹配,將按照規則指定的授權策略,允許或拒絕允許存取(序號1)。其他任何入方向流量,將會被拒絕訪問(序號2)。

      序號(優先順序順序)

      規則類型

      流量類型

      處理動作

      1

      自訂規則

      排序後多個安全性群組自訂規則匹配的流量

      允許或拒絕(根據授權策略)

      2

      預設存取控制規則(不可見)

      其他任何流量

      拒絕

    • 出方向

      與組內連通策略為組內互連時相同。

      序號(優先順序順序)

      規則類型

      流量類型

      處理動作

      1

      自訂規則

      排序後多個安全性群組自訂規則匹配的流量

      允許或拒絕(根據授權策略)

      2

      預設存取控制規則(不可見)

      其他任何流量

      允許

    由上述對比列表可知,對於普通安全性群組,組內連通策略會影響入方向流量的預設存取控制規則。在組內連通策略被設定為組內互連時,阿里雲會預設允許存取同安全性群組內其他ECS執行個體通過內網訪問的流量。阿里雲建議您遵循最小許可權原則,在不需要普通安全性群組內ECS執行個體間內網互連時,將普通安全性群組的組內連通原則設定為組內隔離。

    企業級安全性群組

    • 入方向

      如下表所示,在企業級安全性群組中,如果入方向流量與安全性群組入方向規則匹配,將按照規則指定的授權策略,允許或拒絕允許存取(序號1)。其他任何入方向流量,將會被拒絕訪問(序號2)。

      序號(優先順序順序)

      規則類型

      流量類型

      處理動作

      1

      自訂規則

      排序後多個安全性群組自訂規則匹配的流量

      允許或拒絕(根據授權策略)

      2

      預設存取控制規則(不可見)

      其他任何流量

      拒絕

    • 出方向

      如下表所示,在企業級安全性群組中,如果出方向流量與安全性群組出方向規則匹配,將按照規則指定的授權策略,允許或拒絕允許存取(序號1)。其他任何出方向流量,將會被拒絕訪問(序號2)。

      序號(優先順序順序)

      規則類型

      流量類型

      處理動作

      1

      自訂規則

      排序後多個安全性群組自訂規則匹配的流量

      允許或拒絕(根據授權策略)

      2

      預設存取控制規則(不可見)

      其他任何流量

      拒絕

    其他對比

    對比項

    普通安全性群組

    企業級安全性群組

    支援的網路類型

    • 傳統網路

    • VPC網路

    VPC網路

    支援添加授權策略為允許或拒絕的安全性群組規則

    支援設定規則優先順序