預設安全性群組是阿里雲為您建立的安全性群組,其包含一些預設的安全性群組規則。本文主要介紹預設安全性群組的建立條件、特性以及使用預設安全性群組的建議。
背景資訊
如果您建立ECS執行個體時未指定安全性群組,阿里雲會將ECS執行個體加入到預設安全性群組中。如果預設安全性群組不存在,或者預設安全性群組中不能容納更多ECS執行個體,阿里雲會為您建立一個新的預設安全性群組,並將新建立的ECS執行個體加入到其中。
在專用網路下,安全性群組僅能在所屬的VPC下使用,因此每個VPC下都可能被建立預設安全性群組。如果您在VPC的指定交換器下建立ECS執行個體卻未指定安全性群組,阿里雲會將ECS執行個體加入該VPC下的預設安全性群組中。如果該VPC下不存在預設安全性群組,或者已有預設安全性群組中不能容納更多ECS執行個體,阿里雲會在該VPC下建立一個新的預設安全性群組。
請您注意,預設安全性群組是為了簡化ECS執行個體初次使用流程而產生的,其預設規則針對TCP協議的22、3389連接埠以及ICMP(IPv4)協議,對任意源地址(0.0.0.0/0)放通流量,這是不符合安全最佳實務的。從安全最佳實務的角度來看,阿里雲建議您在安全性群組規則中僅放通指定的源地址,而不是任意源地址,建議您盡量不要使用預設安全性群組,而是根據自己業務需要建立新的安全性群組。
使用API建立ECS執行個體時的預設安全性群組
如果您使用CreateInstance介面建立ECS執行個體,但未指定安全性群組時,阿里雲會將ECS執行個體加入到預設安全性群組中。預設安全性群組的安全性群組類型為普通安全性群組,並包含如下入方向安全性群組規則:
協議類型 | 連接埠範圍 | 授權對象 | 優先順序 | 授權策略 |
TCP | 22/22 | 0.0.0.0/0 | 100 | 允許 |
TCP | 3389/3389 | 0.0.0.0/0 | 100 | 允許 |
ICMP(IPv4) | -1/-1 | 0.0.0.0/0 | 100 | 允許 |
針對TCP協議,允許任意源地址訪問22連接埠(對應SSH協議)和3389連接埠(對應RDP協議)。
針對ICMP(IPv4)協議,允許任意源地址訪問。
如果您使用RunInstances介面建立ECS執行個體,則必須指定已有的安全性群組。
2020年05月27日以前系統建立的預設安全性群組規則的優先順序為110。
使用控制台建立ECS執行個體時的預設安全性群組
如果您使用控制台建立專用網路類型的ECS執行個體,在您選擇的Virtual Private Cloud下沒有安全性群組時,您可以勾選要開通的IPv4協議和連接埠,在建立ECS執行個體的同時,建立一個預設安全性群組,並將ECS執行個體加入到這個預設安全性群組中。
如果您建立傳統網路類型的ECS執行個體且當帳號下沒有傳統網路類型的安全性群組時,您才可以在控制台使用預設安全性群組。
更多資訊,請參見使用控制台建立ECS執行個體時的預設安全性群組。