全部產品
Search

搜尋本產品

    Elastic Compute Service:使用首碼列表與連接埠列表高效管理安全性群組規則

    文件中心

    Elastic Compute Service:使用首碼列表與連接埠列表高效管理安全性群組規則

    更新時間:Mar 27, 2026

    首碼列表是一些網路首碼(即CIDR地址塊)的集合,連接埠列表是一些連接埠的集合,您可以在配置安全性群組規則時引用首碼列表與連接埠列表。修改首碼列表或連接埠列表的條目,等效於直接修改安全性群組規則,從而避免您維護僅授權對象和連接埠範圍不同的多條安全性群組規則,本文介紹使用首碼列表與連接埠列表高效管理安全性群組規則。

    應用情境

    為了雲上資源的安全,您為購買的雲上資源劃分了多個安全域,每個安全域對應一個安全性群組。您多個安全域中的資源,需要被另外一個公用資源(例如雲下的辦公網路)訪問,這個公用資源的IP位址區段數量眾多,且會經常發生變動。

    當授權公用資源的網路地址發生變動時,您需要對多個安全性群組進行規則調整,安全性群組和網路地址數量越多,管理的工作量越大。

    針對此情況,您可以將公用資源的IP位址區段和IP地址放入首碼列表,將對公用資源開放的雲上資源的特定服務連接埠放入連接埠列表,並在配置安全性群組規則引用首碼列表與連接埠列表。在網路地址或連接埠發生變動時,您只需要修改首碼列表或連接埠列表中的條目,無需逐個調整安全性群組中的規則,降低管理複雜度,提高效率。

    例如您擁有50個安全性群組,當您需要為它們允許存取一個IP時,需要執行新增操作50次,如果使用首碼列表,將這個IP加入到首碼列表中,只需操作一次。

    當您的雲上資源分布在多個阿里雲地區時,您可以使用首碼列表或連接埠列表的複製功能,將一個已有的首碼列表或連接埠列表複製到其他地區。

    操作步驟

    本步驟以修改允許存取2個CIDR地址塊與2個連接埠為例,示範通過首碼列表和連接埠列表指定允許訪問ECS執行個體上部署服務的IP地址,並修改訪問授權的流程。

    1. 建立首碼列表。

      1. 訪問ECS控制台-首碼列表

      2. 在頁面左側頂部,選擇目標資源所在的資源群組和地區。地區

      3. 首碼列表欄,單擊建立首碼列表

      4. 建立首碼列表對話方塊中,設定首碼列表的參數,單擊確定

        本文以包括2個IPv4條目為例,參數樣本如下所示:

        • 首碼列表名稱:RemoteAccess-IP

        • 描述:允許該首碼列表中的IP訪問安全性群組管理的ECS執行個體

        • 地址族:IPv4

        • 最大條目容量:2條

          說明

          已關聯資源(例如安全性群組)計算規則配額時,將使用最大條目容量計算,而非實際條目數,請合理設定。

        • 首碼列表條目:單擊添加條目,分別添加192.168.1.0/24192.168.2.0/24

    2. 建立連接埠列表。

      1. 連接埠列表欄,單擊建立連接埠列表

      2. 建立連接埠列表對話方塊中,設定連接埠列表的參數,單擊確定

        本文以包括2個連接埠條目為例,參數樣本如下所示:

        • 連接埠列表名稱:RemoteAccess-Port

        • 描述:為安全性群組管理的ECS執行個體開放該連接埠列表中的連接埠,供訪問ECS執行個體上部署的服務

        • 最大條目容量:2條

          說明

          已關聯資源(例如安全性群組)計算規則配額時,將使用最大條目容量計算,而非實際條目數,請合理設定。

        • 連接埠列表條目:單擊添加條目,分別添加20000/2000020008/20008(此處假設ECS執行個體上部署的服務使用20000與20008連接埠)。

    3. 在安全性群組規則中使用首碼列表和連接埠列表。

      重複以下步驟為多個安全性群組添加安全性群組規則,將首碼列表RemoteAccess-IP作為訪問來源,將連接埠列表RemoteAccess-Port作為訪問目的。

      1. 訪問ECS控制台-安全性群組

      2. 找到目標安全性群組,在操作列單擊配置規則

      3. 入方向頁簽中,單擊添加規則

      4. 設定安全性群組規則的參數,然後單擊儲存

        本文以允許訪問安全性群組內執行個體上部署的服務為例,參數樣本如下表所示:

        • 授權策略:允許

        • 優先順序:1

        • 協議類型:自訂TCP

        • 訪問來源:選擇首碼列表RemoteAccess-IP

        • 訪問目的:選擇連接埠列表RemoteAccess-Port

        添加該安全性群組規則後,安全性群組允許存取首碼列表中的IP,允許存取連接埠列表中的連接埠。

    4. 修改首碼列表與連接埠列表的條目。

      如果在添加安全性群組規則後,您需要更改一些IP的訪問授權,同時ECS執行個體上部署的服務連接埠發生變化,此時無需逐一修改多個安全性群組的安全性群組規則,只需修改首碼列表RemoteAccess-IP與連接埠列表RemoteAccess-Port的條目即可。例如,您授權的私人IP變為192.168.3.0/24192.168.4.0/24,同時部署的服務連接埠變為3000030008,則按以下步驟修改首碼列表與連接埠列表的條目。

      1. 訪問ECS控制台-首碼列表

      2. 首碼列表欄,找到首碼列表RemoteAccess-IP,在操作列單擊詳情

      3. 單擊首碼列表條目頁簽。

      4. 找到首碼列表條目,在操作列單擊修改

      5. 設定CIDR地址塊參數,然後單擊儲存

        修改2個已有條目,CIDR地址塊參數分別設定為192.168.3.0/24192.168.4.0/24

      6. 連接埠列表欄,找到連接埠列表RemoteAccess-Port,在操作列單擊詳情

      7. 單擊連接埠列表條目頁簽。

      8. 找到連接埠列表條目,在操作列單擊修改

      9. 設定連接埠範圍參數,然後單擊儲存

        修改2個已有條目,連接埠範圍參數分別設定為30000/3000030008/30008

    修改首碼列表或連接埠列表的條目後,使用首碼列表或連接埠列表的安全性群組規則自動生效。