详细解答可以参考官方帮助文档
当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。
本文档介绍了常用的专有网络内ECS实例的安全组设置。
同一VPC内的相同安全组下的ECS实例,默认互通。
不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。
安全组规则 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权类型 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|---|
VPC 1中的ECS实例的安全组配置 | 入方向 | 允许 | Windows:RDP | 3389/3389 | 地址段访问 | 输入要登录访问该ECS实例的私网IP。 如果允许任意ECS实例登录,填写0.0.0.0/0。 | 1 |
Linux:SSH(22) | 22/22 | ||||||
自定义TCP | 自定义 | ||||||
VPC 2中的ECS实例的安全组配置 | 入方向 | 允许 | RDP | 3389/3389 | 地址段访问 | 输入要登录访问该ECS实例的私网IP。 如果允许任意ECS实例登录,填写0.0.0.0/0。 | 1 |
Linux:SSH(22) | 22/22 | ||||||
自定义TCP | 自定义 |
您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。
安全组规则 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权类型 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|---|
拒绝特定IP地址段对ECS实例所有端口的入站访问 | 入方向 | 拒绝 | 全部 | -1 | 地址段访问 | 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 | 1 |
拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 | 入方向 | 拒绝 | SSH(22) | 22/22 | 地址段访问 | 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 | 1 |
如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。
安全组规则 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权类型 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|---|
允许Windows远程登录 | 入方向 | 允许 | RDP | 3389/3389 | 地址段访问 | 如果允许任意公网IP登录,填写0.0.0.0/0。 如果只允许特定IP远程登录,填写指定的IP地址。 | 1 |
允许Linux SSH登录 | 入方向 | 允许 | SSH | 22/22 | 地址段访问 | 如果允许任意公网IP登录,填写0.0.0.0/0。 如果只允许特定IP远程登录,填写指定的IP地址。 | 1 |
如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。
安全组规则示例 | 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权类型 | 授权对象 | 优先级 |
---|---|---|---|---|---|---|---|
允许来自HTTP 80端口的入站访问 | 入方向 | 允许 | HTTP | 80/80 | 地址段访问 | 0.0.0.0/0 | 1 |
允许来自HTTPS 443端口的入站访问 | 入方向 | 允许 | HTTPS | 443/443 | 地址段访问 | 0.0.0.0/0 | 1 |
允许来自TCP 80端口的入站访问 | 入方向 | 允许 | TCP | 80/80 | 地址段访问 | 0.0.0.0/0 | 1 |
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。