安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过添加安全组规则,您可以控制安全组内ECI实例的入流量和出流量。
安全组介绍
安全组是一个逻辑上的分组,由同一VPC内具有相同安全保护需求并相互信任的实例组成。通过添加安全组规则,安全组可以允许或拒绝安全组内ECI实例对公网或者私网的访问,以及管理是否放行来自公网或私网的访问请求。更多信息,请参见安全组概述。
一个安全组可以管理同一个VPC内的多个ECI实例。
一个ECI实例必须属于一个安全组。
安全组分为普通安全组和企业安全组。如果您对整体规模和运维效率有较高需求,建议您使用企业安全组。相比普通安全组,企业安全组大幅提升了组内支持容纳的实例数量,简化了规则配置方式。更多关于两种安全组的差异信息,请参见普通安全组与企业级安全组。
指定安全组
创建ECI实例时,必须要指定安全组,即必须要将ECI实例加入到安全组中。关于如何创建安全组,请参见创建安全组。
创建成功的ECI实例不支持修改安全组。如果想要变更安全组,需要重新创建ECI实例。
OpenAPI
调用CreateContainerGroup接口创建ECI实例时,您可以通过SecurityGroupId参数来指定安全组。SecurityGroupId的参数说明如下表所示。更多信息,请参见CreateContainerGroup。
名称 | 类型 | 示例值 | 描述 |
SecurityGroupId | String | sg-uf66jeqopgqa9hdn**** | 指定安全组ID。 |
控制台
通过弹性容器实例售卖页创建ECI实例时,必须要选择一个安全组。
添加安全组规则
对于安全组内的ECI实例,您可以添加安全组规则来控制其出入流量。例如:
当ECI实例需要与所在安全组之外的网络进行通信时,您可以添加允许访问的安全组规则,实现网络互通。
在运行ECI实例的过程中,发现部分请求来源有恶意攻击行为时,您可以添加拒绝访问的安全组规则,实现网络隔离。
关于如何添加安全组规则,请参见添加安全组规则。