當您建立VPC類型的ECS執行個體時,可以使用系統提供的預設安全性群組規則,也可以選擇VPC中已有的其他安全性群組。安全性群組是一種虛擬防火牆,用來控制ECS執行個體的出站和入站流量。
本文檔介紹常用VPC類型的ECS執行個體的安全性群組設定。
案例一:私網互連
VPC類型的ECS執行個體互連分以下兩種情況:
- 同一VPC內的相同安全性群組下的ECS執行個體,預設互連。
- 不同VPC內的ECS執行個體,無法互連。首先需要使用Express Connect、VPN網關、雲企業網等產品打通兩個VPC之間的通訊,然後確保兩個VPC內的ECS執行個體的安全性群組規則允許互相訪問,如下表所示。
安全性群組規則 規則方向 授權策略 協議類型和連接埠範圍 授與類型 授權對象 VPC 1中的ECS執行個體的安全性群組配置 入方向 允許 Windows: RDP
3389/3389
位址區段訪問 要訪問的VPC2中的ECS執行個體的私網IP。說明 如果允許任意ECS執行個體登入,填寫0.0.0.0/0。入方向 允許 Linux: SSH
22/22
位址區段訪問 入方向 允許 自訂TCP
自訂
位址區段訪問 VPC 2中的ECS執行個體的安全性群組配置 入方向 允許 Windows: RDP
3389/3389
位址區段訪問 要訪問的VPC1中的ECS執行個體的私網IP。說明 如果允許任意ECS執行個體登入,填寫0.0.0.0/0。入方向 允許 Linux: SSH
22/22
位址區段訪問 入方向 允許 自訂TCP
自訂
位址區段訪問
案例二:拒絕特定IP或特定連接埠的訪問
您可以通過配置安全性群組拒絕特定IP或特定連接埠對VPC類型的ECS執行個體的訪問,如下表所示。
| 安全性群組規則 | 規則方向 | 授權策略 | 協議類型和連接埠範圍 | 授與類型 | 授權對象 |
| 拒絕特定IP位址區段對ECS執行個體所有連接埠的入站訪問 | 入方向 | 拒絕 | 全部 -1/-1 | 位址區段訪問 | 要拒絕訪問的IP位址區段,如10.0.0.1/32。 |
| 拒絕特定IP位址區段對ECS執行個體TCP 22連接埠的入站訪問 | 入方向 | 拒絕 | SSH(22) 22/22 | 位址區段訪問 | 要拒絕訪問的IP位址區段,如10.0.0.1/32。 |
案例三:只允許特定IP遠程登入ECS執行個體
如果您為VPC中的ECS執行個體配置了公網IP,如EIP、公網NAT Gateway等。您可以根據具體情況,添加如下安全性群組規則允許Windows遠程登入或Linux SSH登入。
| 安全性群組規則 | 規則方向 | 授權策略 | 協議類型和連接埠範圍 | 授與類型 | 授權對象 |
| 允許Windows遠程登入 | 入方向 | 允許 | RDP 3389/3389 | 位址區段訪問 | 允許登入ECS執行個體的指定IP地址。 說明 如果允許任意公網IP登入ECS,填寫0.0.0.0/0。 |
| 允許Linux SSH登入 | 入方向 | 允許 | SSH 22/22 | 位址區段訪問 | 允許登入ECS執行個體的指定IP地址。 說明 如果允許任意公網IP登入ECS執行個體,填寫0.0.0.0/0。 |
案例四:允許公網訪問ECS執行個體部署的HTTP或HTTPS服務
如果您在VPC類型的ECS執行個體上部署了一個網站,通過EIP、公網NAT Gateway對外提供服務,您需要配置以下安全性群組規則允許使用者從公網訪問您的網站。
| 安全性群組規則 | 規則方向 | 授權策略 | 協議類型和連接埠範圍 | 授與類型 | 授權對象 |
| 允許來自HTTP 80連接埠的入站訪問 | 入方向 | 允許 | HTTP 80/80 | 位址區段訪問 | 0.0.0.0/0 |
| 允許來自HTTPS 443連接埠的入站訪問 | 入方向 | 允許 | HTTPS 443/443 | 位址區段訪問 | 0.0.0.0/0 |
| 允許來自TCP 80連接埠的入站訪問 | 入方向 | 允許 | TCP 80/80 | 位址區段訪問 | 0.0.0.0/0 |