安全性群組是一種虛擬防火牆,使用安全性群組可以幫您控制ECS執行個體的出入站流量,實現網路的隔離與互連等能力。本文介紹安全性群組的建立、查詢、修改、刪除等操作。
操作前須知
安全性群組能力概述和使用建議。具體資訊,請參見安全性群組概述。
安全性群組分為普通安全性群組和企業級安全性群組,在安全性群組容量、是否支援組內互連、是否支援添加授權對象為安全性群組以及預設的存取控制規則等方面有一定差異。具體資訊,請參見普通安全性群組與企業級安全性群組。
關於安全性群組的使用限制,請參見安全性群組使用限制。
建立安全性群組
在您建立ECS執行個體時,如果您還未建立過安全性群組,阿里雲會為您建立一個預設安全性群組。如果您希望ECS執行個體加入自訂安全性群組,您可以手動建立安全性群組。
普通安全性群組的預設組內聯通策略為組內互連,您可修改組內聯通策略。具體資訊,請參見修改普通安全性群組的組內連通策略。
使用ECS控制台
進入安全性群組頁面。
登入ECS管理主控台。
在左側導覽列,選擇 。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
單擊建立安全性群組。
在基本資料地區,設定安全性群組的基本資料。
設定安全性群組名稱、描述、資源群組、標籤等資訊,方便您更好地識別您建立的安全性群組。
設定網路,選擇傳統網路或指定Virtual Private Cloud。更多資訊,請參見網路類型。
設定安全性群組類型,選擇普通安全性群組或企業級安全性群組。更多資訊,請參見普通安全性群組與企業級安全性群組。
在訪問規則地區,設定安全性群組規則。
單擊建立安全性群組。
建立成功後,您可以在安全性群組列表頁中查看安全性群組。更多資訊,請參見查詢安全性群組。
使用API
使用CreateSecurityGroup - 建立安全性群組,建立安全性群組。
複製安全性群組
您可以通過複製安全性群組快速建立一個或多個安全性群組,且支援跨地區、跨網路類型複製安全性群組。適用於在安全性群組規則較多時,進行跨地區複製安全性群組規則、安全性群組規則備份等情境。
如果您需要將安全性群組的網路類型更換為專用網路,您需要在目標地區建立至少一個可用的專用網路。具體操作,請參見建立和管理專用網路。
如下情境,您可能需要複製安全性群組:
假設您已經在地區A裡建立了一個安全性群組SG1,此時您需要對地區B裡的執行個體使用與SG1完全相同的規則,您可以直接將SG1複製到地區B,而不需要在地區B從零開始建立安全性群組。
假設您已經建立了一個適用於傳統網路的安全性群組SG2,此時您需要對一些處於VPC網路裡的執行個體使用與SG2完全相同的規則,您可以在複製SG2時將網路類型改為VPC,產生一個適用於VPC網路的安全性群組。
如果您需要對一個線上業務執行新的安全性群組規則,您可以複製原來的安全性群組作為備份。
複製安全性群組預設只複製此安全性群組以及安全性群組規則,不複製與此安全性群組相關聯的執行個體或者彈性網卡。
使用ECS控制台
在
頁面,找到需要複製的安全性群組,單擊操作列中的複製安全性群組。在複製安全性群組對話方塊裡,設定新安全性群組的資訊:
目標地區:選擇新安全性群組適用的地區。
安全性群組名稱:設定新安全性群組的名稱。
專用網路ID:選擇新安全性群組的網路類型,選擇傳統網路或者具體的專用網路。如果沒有可用的專用網路,您可以單擊建立專用網路去專用網路控制台建立網路。
保留規則:選擇是否保留原安全性群組的所有規則。如果選中,複製安全性群組時會將原安全性群組中的所有規則複製到新安全性群組中,且複製後優先順序大於100的規則將調整優先順序為100。否則,將丟棄這部分規則。
描述:設定新安全性群組的描述資訊。
複製本安全性群組標籤到複製安全性群組:選擇是否需要將原安全性群組的標籤複製到新安全性群組。
單擊確定。
說明複製成功後,複製安全性群組對話方塊會自動關閉。您可以在目標地區的安全性群組列表中看到複製的新安全性群組。
複製安全性群組成功後,您可能需要進行以下操作:
將雲資源(ECS執行個體,彈性網卡)加入新的安全性群組中。具體操作,請參見安全性群組關聯資源管理。
根據實際需求,修改新安全性群組的規則或連通策略,以確保安全性群組適應新的網路環境和安全性原則。具體操作,請參見修改安全性群組規則和修改普通安全性群組的組內連通策略。
修改安全性群組
建立安全性群組後,您可以根據需要隨時修改安全性群組的名稱、描述資訊和標籤資訊,以便更方便地識別特定的安全性群組。
使用ECS控制台
在
頁面,找到需要修改的安全性群組,修改如下資訊。修改名稱和描述
分別在安全性群組ID/名稱列和描述列將滑鼠懸浮至名稱和描述處,然後單擊表徵圖。
在彈出的對話方塊中,修改對應資訊,然後單擊確定。
說明安全性群組名稱:長度為2~128個字元,不能以特殊字元及數字開頭,只可包含特殊字元中的點號(.)、底線(_)、連字號(-)和半形冒號(:)。
描述:長度為2~256個字元,不能以http://或https://開頭。
編輯標籤資訊
標籤用於標識具有相同特徵的資源,例如所屬組織相同或用途相同的安全性群組,您可以基於標籤方便地檢索和管理資源。更多資訊,請參見標籤。
根據實際情況,按照如下方式修改標籤。
如果安全性群組尚未綁定標籤,在標籤列將滑鼠懸浮至表徵圖,然後單擊綁定。
如果安全性群組已經綁定了標籤,在標籤列將滑鼠懸浮至表徵圖,然後單擊編輯。
在編輯標籤對話方塊,選擇已有標籤或輸入新的標籤,然後單擊確認。
說明綁定標籤後,您可以基於標籤篩選安全性群組並完成各種管理動作,例如將ECS執行個體加入某類安全性群組、為某類安全性群組添加安全性群組規則等。
使用API
使用ModifySecurityGroupAttribute - 修改安全性群組的名稱或者描述,修改安全性群組的名稱和描述資訊。
查詢安全性群組
建立安全性群組後,您可以通過安全性群組名稱、安全性群組ID或者專用網路ID查詢相關安全性群組。
使用ECS控制台
在
頁面,輸入待查詢的安全性群組名稱、安全性群組ID或專用網路ID並單擊表徵圖,通過智能匹配查詢相關安全性群組。您也可以選擇安全性群組名稱或安全性群組ID進行精確查詢,或選擇專用網路ID查詢該專用網路下的所有安全性群組。
使用API
使用DescribeSecurityGroups - 查詢安全性群組基本資料列表,查詢安全性群組資訊。
刪除安全性群組
如果您的業務已經不再需要某個安全性群組,您可以刪除這個安全性群組。安全性群組刪除後,組內所有安全性群組規則將被刪除。
安全性群組存在以下情況時,會刪除失敗:
在安全性群組內有ECS執行個體或彈性網卡時,不能刪除。您需要先將執行個體或者彈性網卡移出安全性群組,再刪除安全性群組。具體操作,請參見管理安全性群組與ECS執行個體和管理安全性群組與彈性網卡。
在安全性群組被其他安全性群組的規則作為授權對象時,不能刪除。您需要先刪除相應的授權規則,再刪除安全性群組。具體操作,請參見刪除安全性群組規則。
安全性群組已開啟刪除保護功能。
在您使用DeleteSecurityGroup介面刪除安全性群組時返回錯誤碼
InvalidOperation.DeletionProtection
,或使用控制台刪除安全性群組看到類似刪除保護的提示時,說明該安全性群組開啟了刪除保護功能。在您建立ACK叢集時,關聯的安全性群組會開啟刪除保護功能,來防止誤刪除。刪除保護功能無法手動關閉,只有在刪除了關聯的ACK叢集後,才能夠自動關閉。更多資訊,請參見關閉安全性群組刪除保護。
使用ECS控制台
在
頁面,通過如下兩種方式刪除安全性群組。刪除單個安全性群組:找到待刪除的安全性群組,然後單擊操作列中的刪除。
大量刪除安全性群組:選中一個或多個安全性群組,在頁面底部單擊大量刪除。
在刪除安全性群組對話方塊中,確認資訊後,單擊確定。
使用API
使用DeleteSecurityGroup - 刪除安全性群組,刪除安全性群組。
安全性群組常見問題與最佳實務
關於安全性群組配置、安全性群組規則設定、無法訪問ECS執行個體、主機處罰與解禁流程、資源限額管理等常見問題,請參見安全FAQ。
關於協議類型和連接埠範圍的問題,請參見常用連接埠、修改伺服器預設遠程連接埠。
將雲資源(ECS執行個體,彈性網卡)加入新的安全性群組,請參見安全性群組與ECS執行個體關聯的管理、安全性群組與彈性網卡關聯的管理。
根據業務需要,如果需要修改安全性群組的組內連通策略,請參見修改普通安全性群組的組內連通策略。
您可通過OOS管理主控台批量修改雲資源綁定標籤的標籤值,請參見使用OOS批量修改標籤值。
安全性群組規則配置最佳實務與應用案例:
如果伺服器開啟了防火牆,並設定了屏蔽外界訪問的規則,那麼在遠端存取該伺服器時,可能會導致訪問失敗。開啟和關閉系統防火牆的最佳實務:
其他最佳實務: