全部產品
Search
文件中心

Virtual Private Cloud:ECS安全性群組配置案例

更新時間:Feb 28, 2024

當您建立VPC類型的ECS執行個體時,可以使用系統提供的預設安全性群組規則,也可以選擇VPC中已有的其他安全性群組。安全性群組是一種虛擬防火牆,用來控制ECS執行個體的出站和入站流量。

本文檔介紹常用VPC類型的ECS執行個體的安全性群組設定。

案例一:私網互連

VPC類型的ECS執行個體互連分以下兩種情況:

  • 同一VPC內的相同安全性群組下的ECS執行個體,預設互連。
  • 不同VPC內的ECS執行個體,無法互連。首先需要使用Express Connect、VPN網關、雲企業網等產品打通兩個VPC之間的通訊,然後確保兩個VPC內的ECS執行個體的安全性群組規則允許互相訪問,如下表所示。
    安全性群組規則規則方向授權策略協議類型和連接埠範圍授與類型授權對象
    VPC 1中的ECS執行個體的安全性群組配置入方向允許

    Windows: RDP

    3389/3389

    位址區段訪問
    要訪問的VPC2中的ECS執行個體的私網IP。
    說明 如果允許任意ECS執行個體登入,填寫0.0.0.0/0。
    入方向允許

    Linux: SSH

    22/22

    位址區段訪問
    入方向允許

    自訂TCP

    自訂

    位址區段訪問
    VPC 2中的ECS執行個體的安全性群組配置入方向允許

    Windows: RDP

    3389/3389

    位址區段訪問
    要訪問的VPC1中的ECS執行個體的私網IP。
    說明 如果允許任意ECS執行個體登入,填寫0.0.0.0/0。
    入方向允許

    Linux: SSH

    22/22

    位址區段訪問
    入方向允許

    自訂TCP

    自訂

    位址區段訪問

案例二:拒絕特定IP或特定連接埠的訪問

您可以通過配置安全性群組拒絕特定IP或特定連接埠對VPC類型的ECS執行個體的訪問,如下表所示。

安全性群組規則規則方向授權策略協議類型和連接埠範圍授與類型授權對象
拒絕特定IP位址區段對ECS執行個體所有連接埠的入站訪問入方向拒絕

全部

-1/-1

位址區段訪問

要拒絕訪問的IP位址區段,如10.0.0.1/32。

拒絕特定IP位址區段對ECS執行個體TCP 22連接埠的入站訪問入方向拒絕

SSH(22)

22/22

位址區段訪問

要拒絕訪問的IP位址區段,如10.0.0.1/32。

案例三:只允許特定IP遠程登入ECS執行個體

如果您為VPC中的ECS執行個體配置了公網IP,如EIP、公網NAT Gateway等。您可以根據具體情況,添加如下安全性群組規則允許Windows遠程登入或Linux SSH登入。

安全性群組規則規則方向授權策略協議類型和連接埠範圍授與類型授權對象
允許Windows遠程登入入方向允許

RDP

3389/3389

位址區段訪問
允許登入ECS執行個體的指定IP地址。
說明 如果允許任意公網IP登入ECS,填寫0.0.0.0/0。
允許Linux SSH登入入方向允許

SSH

22/22

位址區段訪問
允許登入ECS執行個體的指定IP地址。
說明 如果允許任意公網IP登入ECS執行個體,填寫0.0.0.0/0。

案例四:允許公網訪問ECS執行個體部署的HTTP或HTTPS服務

如果您在VPC類型的ECS執行個體上部署了一個網站,通過EIP、公網NAT Gateway對外提供服務,您需要配置以下安全性群組規則允許使用者從公網訪問您的網站。

安全性群組規則規則方向授權策略協議類型和連接埠範圍授與類型授權對象
允許來自HTTP 80連接埠的入站訪問入方向允許

HTTP

80/80

位址區段訪問0.0.0.0/0
允許來自HTTPS 443連接埠的入站訪問入方向允許

HTTPS

443/443

位址區段訪問0.0.0.0/0
允許來自TCP 80連接埠的入站訪問入方向允許

TCP

80/80

位址區段訪問0.0.0.0/0