當您建立專有網路類型的ECS執行個體時,可以使用系統提供的預設安全性群組規則,也可以選擇VPC中已有的其它安全性群組。安全性群組是一種虛擬防火牆用來控制ECS執行個體的出站和入站流量。

本文檔介紹了常用的專有網路ECS執行個體的安全性群組設定。

案例 一:內網互通

VPC類型的ECS執行個體互通分以下兩種情況:

  • 同一VPC內的相同安全性群組下的ECS執行個體,預設互通。
  • 不同VPC內的ECS執行個體,無法互通。首先需要使用Express Connect、VPN網、雲企業網等產品打通兩個VPC之間的通訊,然後確保兩個VPC內的ECS執行個體的安全性群組規則允許互相訪問,如下表所示。
    安全性群組規則 規則方向 授權策略 協議類型和通信埠範圍 授與類型 授權對象
    VPC 1中的ECS執行個體的安全性群組配置 入方向 允許

    Windows: RDP

    3389/3389

    地址段訪問

    要訪問的VPC2中的ECS執行個體的私網IP。

    如果允許任意ECS執行個體登入,填寫0.0.0.0/0。

    入方向 允許

    Linux: SSH

    22/22

    地址段訪問
    入方向 允許

    自訂TCP

    自訂

    地址段訪問
    VPC 2中的ECS執行個體的安全性群組配置 入方向 允許

    Windows: RDP

    3389/3389

    地址段訪問

    要訪問的VPC1中的ECS執行個體的私網IP。

    如果允許任意ECS執行個體登入,填寫0.0.0.0/0。

    入方向 允許

    Linux: SSH

    22/22

    地址段訪問
    入方向 允許

    自訂TCP

    自訂

    地址段訪問

案例二:拒絕特定IP或特定通信埠的訪問

您可以通過配置安全性群組拒絕特定IP或特定通信埠對專有網路ECS執行個體的訪問,如下表所示。

安全性群組規則 規則方向 授權策略 協議類型和通信埠範圍 授與類型 授權對象
拒絕特定IP地址段對ECS執行個體所有通信埠的入站訪問 入方向 拒絕

全部

-1

地址段訪問

要拒絕訪問的IP地址段,如10.0.0.1/32。

拒絕特定IP地址段對ECS執行個體TCP 22通信埠的入站訪問 入方向 拒絕

SSH(22)

22/22

地址段訪問

要拒絕訪問的IP地址段,如10.0.0.1/32。

案例三:只允許特定IP遠程ECS

如果您為VPC中的ECS執行個體配置了公網IP如NAT Gateway,EIP等,您可以根據具體情況,添加如下安全性群組規則允許Windows遠程登入或Linux SSH登入。

安全性群組規則 規則方向 授權策略 協議類型和通信埠範圍 授與類型 授權對象
允許Windows遠程登入 入方向 允許

RDP

3389/3389

地址段訪問

如果允許任意公網IP登入,填寫0.0.0.0/0。

如果只允許特定IP遠程登入,填寫指定的IP地址。

允許Linux SSH登入 入方向 允許

SSH

22/22

地址段訪問

如果允許任意公網IP登入,填寫0.0.0.0/0。

如果只允許特定IP遠程登入,填寫指定的IP地址。

案例四:允許從公網訪問ECS執行個體部署的HTTP/HTTPS服務

如果您在專有網路的ECS執行個體上部署了一個網站,通過EIP、NAT Gateway對外提供服務,您需要配置如下安全性群組規則允許使用者從公網訪問您的網站。

安全性群組規則 規則方向 授權策略 協議類型和通信埠範圍 授與類型 授權對象
允許來自HTTP 80通信埠的入站訪問 入方向 允許

HTTP

80/80

地址段訪問 0.0.0.0/0
允許來自HTTPS 443通信埠的入站訪問 入方向 允許

HTTPS

443/443

地址段訪問 0.0.0.0/0
允許來自TCP 80通信埠的入站訪問 入方向 允許

TCP

80/80

地址段訪問 0.0.0.0