當您建立專有網路類型的ECS執行個體時,可以使用系統提供的預設安全性群組規則,也可以選擇VPC中已有的其它安全性群組。安全性群組是一種虛擬防火牆用來控制ECS執行個體的出站和入站流量。
本文檔介紹了常用的專有網路ECS執行個體的安全性群組設定。
案例 一:內網互通
VPC類型的ECS執行個體互通分以下兩種情況:
- 同一VPC內的相同安全性群組下的ECS執行個體,預設互通。
- 不同VPC內的ECS執行個體,無法互通。首先需要使用Express Connect、VPN網、雲企業網等產品打通兩個VPC之間的通訊,然後確保兩個VPC內的ECS執行個體的安全性群組規則允許互相訪問,如下表所示。
安全性群組規則 規則方向 授權策略 協議類型和通信埠範圍 授與類型 授權對象 VPC 1中的ECS執行個體的安全性群組配置 入方向 允許 Windows: RDP
3389/3389
地址段訪問 要訪問的VPC2中的ECS執行個體的私網IP。
如果允許任意ECS執行個體登入,填寫0.0.0.0/0。
入方向 允許 Linux: SSH
22/22
地址段訪問 入方向 允許 自訂TCP
自訂
地址段訪問 VPC 2中的ECS執行個體的安全性群組配置 入方向 允許 Windows: RDP
3389/3389
地址段訪問 要訪問的VPC1中的ECS執行個體的私網IP。
如果允許任意ECS執行個體登入,填寫0.0.0.0/0。
入方向 允許 Linux: SSH
22/22
地址段訪問 入方向 允許 自訂TCP
自訂
地址段訪問
案例二:拒絕特定IP或特定通信埠的訪問
您可以通過配置安全性群組拒絕特定IP或特定通信埠對專有網路ECS執行個體的訪問,如下表所示。
| 安全性群組規則 | 規則方向 | 授權策略 | 協議類型和通信埠範圍 | 授與類型 | 授權對象 |
|---|---|---|---|---|---|
| 拒絕特定IP地址段對ECS執行個體所有通信埠的入站訪問 | 入方向 | 拒絕 |
全部 -1 |
地址段訪問 |
要拒絕訪問的IP地址段,如10.0.0.1/32。 |
| 拒絕特定IP地址段對ECS執行個體TCP 22通信埠的入站訪問 | 入方向 | 拒絕 |
SSH(22) 22/22 |
地址段訪問 |
要拒絕訪問的IP地址段,如10.0.0.1/32。 |
案例三:只允許特定IP遠程ECS
如果您為VPC中的ECS執行個體配置了公網IP如NAT Gateway,EIP等,您可以根據具體情況,添加如下安全性群組規則允許Windows遠程登入或Linux SSH登入。
| 安全性群組規則 | 規則方向 | 授權策略 | 協議類型和通信埠範圍 | 授與類型 | 授權對象 |
|---|---|---|---|---|---|
| 允許Windows遠程登入 | 入方向 | 允許 |
RDP 3389/3389 |
地址段訪問 |
如果允許任意公網IP登入,填寫0.0.0.0/0。 如果只允許特定IP遠程登入,填寫指定的IP地址。 |
| 允許Linux SSH登入 | 入方向 | 允許 |
SSH 22/22 |
地址段訪問 |
如果允許任意公網IP登入,填寫0.0.0.0/0。 如果只允許特定IP遠程登入,填寫指定的IP地址。 |
案例四:允許從公網訪問ECS執行個體部署的HTTP/HTTPS服務
如果您在專有網路的ECS執行個體上部署了一個網站,通過EIP、NAT Gateway對外提供服務,您需要配置如下安全性群組規則允許使用者從公網訪問您的網站。
| 安全性群組規則 | 規則方向 | 授權策略 | 協議類型和通信埠範圍 | 授與類型 | 授權對象 |
|---|---|---|---|---|---|
| 允許來自HTTP 80通信埠的入站訪問 | 入方向 | 允許 |
HTTP 80/80 |
地址段訪問 | 0.0.0.0/0 |
| 允許來自HTTPS 443通信埠的入站訪問 | 入方向 | 允許 |
HTTPS 443/443 |
地址段訪問 | 0.0.0.0/0 |
| 允許來自TCP 80通信埠的入站訪問 | 入方向 | 允許 |
TCP 80/80 |
地址段訪問 | 0.0.0.0 |