本文介绍安全组及安全组规则的限制。

安全组限制

  • 每个账号在每个地域最多可创建 100 个安全组,并可以根据您的会员等级的提高而增加。如需提高上限,请提交工单。
  • 一个实例中的每个弹性网卡默认最多可以加入 5 个安全组。如需提高上限,请提交工单,阿里云会评估您的业务量是否需要更多的安全组,评估通过后可以增加到 10 个或者 16 个安全组。
  • 安全组的网络类型分为经典网络和专有网络。
    • 经典网络类型的实例可以加入同一地域(Region)下经典网络类型的安全组。

      单个经典网络类型的安全组内的实例个数不能超过 1000。如果您有超过 1000 个实例需要内网互访,可以将他们分配到多个安全组内,并通过互相授权的方式允许互访。

    • 专有网络类型的实例可以加入同一专有网络(VPC)下的安全组。

      单个 VPC 类型的安全组内的私网 IP 个数不能超过 2000(主网卡和辅助网卡共享此配额)。如果您有超过 2000 个私网 IP 需要内网互访,可以将这些私网 IP 的实例分配到多个安全组内,并通过互相授权的方式允许互访。

  • 如果数据包在 Outbound 方向是被允许的,那么对应的此连接在 Inbound 方向也是允许的。

更多信息,请参见安全组FAQ

安全组规则的限制

每个弹性网卡的安全组规则数量上限 = 该实例可加入的安全组数量 x 每个安全组最大规则数量。一个实例中的每个弹性网卡最多可以设置 1000 条安全组规则。

  • 默认情况下,一个弹性网卡最多加入 5 个安全组,每个安全组 200 个规则,即每个安全组的入方向规则与出方向规则的总数不能超过 200。
  • 每个安全组内规则数量会随网卡可加入安全组数量变化而变化,但总数不能超过 200,而且不会单独计算入站规则和出站规则。
    • 如果您调整到每个弹性网卡可加入 10 个安全组,那么每个安全组只允许 100 个规则。
    • 如果您调整到每个弹性网卡可加入 16 个安全组,那么每个安全组只允许 60 个规则。

安全组和安全组规则的数量的关系如下:

当安全组数量为 则安全组规则数量的上限为(入方向和出方向共享此配额)
5 个(默认值) 200 条
10 个(需提交工单) 100 条
16 个(需提交工单) 60 条