安全性群組是一種虛擬防火牆,能夠控制ECS執行個體的出入站流量。您可以根據業務需要,將ECS執行個體加入一個或多個安全性群組,也可以隨時調整安全性群組與ECS執行個體的關聯。
使用限制
一台ECS執行個體至少屬於一個安全性群組,預設情況下,一台ECS執行個體最多可以分配5個安全性群組。更多資訊,請參見安全性群組使用限制。
ECS執行個體與加入的安全性群組網路類型必須一致,且需在同一個Virtual Private Cloud下。
安全性群組分為普通安全性群組和企業級安全性群組,ECS執行個體加入的多個安全性群組必須是相同類型的,請參見普通安全性群組與企業級安全性群組。
將執行個體加入、移出或替換安全性群組
若執行個體的安全性群組不符合當前業務需求,您可以將ECS執行個體加入或移出指定安全性群組,或替換執行個體的安全性群組。
已建立執行個體(加入、移出、替換)
登入ECS管理主控台。
在左側導覽列,選擇。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
在ECS執行個體列表頁,按需為單個或多個執行個體,選擇要加入、移出或替換的安全性群組。
單個ECS執行個體
找到目標ECS執行個體,在操作列中,選擇
> 網路和安全性群組中的修改安全性群組,按照介面提示完成操作。多個ECS執行個體操作
選中多個目標ECS執行個體,在列表底部選擇更多 > 網路和安全性群組中的加入安全性群組、移出安全性群組或替換安全性群組,按照介面提示完成操作。
建立執行個體時(加入)
在建立ECS執行個體時,您可以將ECS執行個體加入指定的一個或多個安全性群組。具體操作,請參見自訂購買執行個體。
為指定安全性群組加入或移出執行個體
登入ECS管理主控台。
在左側導覽列,選擇。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
找到目標安全性群組,在操作列中,選擇
> 管理執行個體 。進入目標安全性群組內的執行個體列表頁面,按照介面提示將執行個體加入安全性群組或將執行個體移出安全性群組。
在控制台建立ECS執行個體時的預設安全性群組
在控制台建立ECS執行個體時,如果當前網路下沒有安全性群組,在建立ECS執行個體的同時會建立一個預設安全性群組,您可以根據需要勾選要開通的IPv4協議和連接埠。
建立ECS執行個體的具體操作,請參見自訂購買執行個體。
預設安全性群組屬性說明
預設安全性群組的屬性說明如下:
安全性群組類型:普通安全性群組。
網路類型:隨執行個體建立,與執行個體的網路類型一致。
預設安全性群組規則:
規則優先順序:100。
說明2020年05月27日以前系統建立的預設安全性群組規則的優先順序為110。
規則說明:
出方向:預設允許所有訪問,即安全性群組內的ECS訪問外部都是允許存取的。
入方向:預設僅允許通過ICMP 協議、22 連接埠和3389 連接埠訪問,您可以自訂是否允許HTTP 80連接埠和HTTPS 443連接埠訪問。例如,如果您使用ECS執行個體進行建站就需要選中HTTP 80連接埠和HTTPS 443連接埠。
安全性群組列表的預設安全性群組
在ECS控制台安全性群組列表頁面展示並有類似System created security group.的提示資訊,表示該安全性群組為預設安全性群組。
您可以在預設安全性群組規則的基礎上繼續新增、修改安全性群組規則,更精細地控制出入流量,管理預設安全性群組與執行個體、彈性網卡的關聯關係等。
如果預設安全性群組規則不滿足您的應用情境,您可以根據實際情況建立自訂安全性群組、配置新的安全性群組規則並關聯至ECS執行個體或者彈性網卡。更多資訊,請參見建立安全性群組。