阿里云新手必踩坑系列 - 安全组-阿里云开发者社区

阿里云新手必踩坑系列 - 安全组

2017-08-29 6071

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 文章开始之前，先简单插播一段阿里广告，适合购买阿里云产品的新用户（新购或升级），欢迎大家领取，以支持博客长久发展：【阿里云幸运券领取地址】：http://t.cn/RiW5Psd （阿里云幸运券）【阿里云幸运券 - 新用户用途】： 199元 1核2G，60G硬盘云服务器： http://t.cn/RSrB8jK （用买网站空间的价钱买独享IP云服务器，对SEO更加友好）另有多种产品首购限额免费，例如OSS等。

文章开始之前，先简单插播一段阿里广告，适合购买阿里云产品的新用户（新购或升级），欢迎大家领取，以支持博客长久发展：

【阿里云幸运券领取地址】： http://wzfw.ltd/qjyl （阿里云幸运券）

【阿里云幸运券 - 新用户用途】：

199元 1核2G，60G硬盘云服务器： http://wzfw.ltd/qecs199 （用买网站空间的价钱买独享IP云服务器，对SEO更加友好）

另有多种产品首购限额免费，例如OSS等。当然这里入门相对困难（先学会ECS是第一步）

免费半年体验，需每天10点参与秒杀，本来博主有推荐码可以免秒杀，但由于数量只有区区20枚，截至本地发博已经用完，新推荐码暂时没有发放。所以想免费体验的可以乖乖秒杀。也可以联系博主QQ453177660，等待新推荐码到来。

【阿里云幸运券 - 新老用户】：

三种规格套云服务器购买：http://wzfw.ltd/qecs330 （每用户限购一台，同时适合新老用户）

另外，产品首次升级ECS亦可享受折扣

使用幸运券可参与抽奖，首购ECS大于百元必中 http://wzfw.ltd/jiang

*******************分割线************************************************************************************************

回归话题，经过了上述购买环节，就可以做实验学习阿里云安全组配置了！

相信很多朋友在接触阿里云云服务器ECS的过程中，经常会遇到一些问题解释不通。其根本原因在于新手尚不了解阿里云，在博主数次在同行技术群里交流问题的过程中，发现新手几乎会问同一个问题：安全组

介绍安全组之前，先说说防火墙的意义：

防火墙，原始意义是森林中着火，快速围绕着火区域伐木，产生一条隔离带，控制火灾范围在隔离带之内。用在操作系统中，防火墙防的“火情”就是端口，所有网络活动，都需要依赖端口，例如用户访问我的博客，就使用了“公网入方向的80或者443端口”，防火墙就可以配置这样一条规则来实现（以windows为例）：“入站规则”，端口写“80”“443”（常规业务端口相对固定，写成2条更容易识别），类型TCP,然后启用防火墙，则该规则生效。如果防火墙未做其他配置，则 80，443之外的端口会全部被禁止访问。

安全组，顾名思义“安全”“组”，是阿里云为了提高服务器安全，从软件角度开发的一套效果与防火墙很相似的一套安全体系。另外，安全组还有个组的概念，一个安全组可以配置给多台服务器，这对以后服务器的增量管理是个非常占优势的地方。（博主接触过的阿里云服务器，高达100余台ECS，逐个配置防火墙的工作量可想而知）

安全组的使用非常简单，首先需要理解的是公网，私网。如果所购买的阿里云属于经典网络，其服务器会有三块网卡，分别用于“公网网卡”、“私网网卡”、“回环网卡”。如果是采用了阿里云后来推出的VPC网络，则只有一块看起来像私有网卡的网卡。为了让本文解释更加明确，此处博主选择经典网络作为解释案例：

大前提：购买云服务器时候，阿里云已经为我们选择了默认安全组，目前默认规则是：对公网开启22，3389，80端口，其他端口默认关闭

假设我们有2台服务器WEB1，DB1用途如下：

WEB1网站服务器，公网访问 opengps.cn，最终被被转换访问到 115.28.xxx.xxx(公网网卡)

DB1数据库服务器，只给提供A服务器提供数据库读取，例如常见端口：MySQL默认的3306，SQL Server默认的1433等

安全组配置过程如下：

针对A服务器新建安全组：我们命名 WebServersSafeGroup

网络：公网入方向

端口范围：80-80，443-443（可以同时配置多个）

协议：TCP（网站所用的http协议位于网络第七层，均属于对网络第四层TCP协议的应用）

最后一步，将网站服务器A，添加到安全组WebSafeGroup

针对DB1服务器新建安全组：我们命名 DBServersSafeGroup

网络：内网入方向（同一个帐号下的服务器，默认开通互相访问）

端口范围：80-80，443-443（可以同时配置多个）

协议：TCP（网站所用的http协议位于网络第七层，均属于对网络第四层TCP协议的应用）

最后一步，将网站服务器A，添加到安全组DBServersSafeGroup

完成这一步，我们可以稍微拓展，博主的网站目前没有不需要只需要一台，但将来可能追加一个网站，同样访问DB1服务器，则购买新WEB2服务器的时候，只需要在安全组位置选择WebServersSafeGroup即可，新手入门往往只有一台服务器，因此没必要按照博主进行的这种方式规划安全组，因此，针对单台服务器承载全部应用的情况，往往操作更简化

找到默认安全组，添加公网入方向规则：

自己想用的端口，例如81，8080端口，选择TCP类型，保存，一切完成。

本文初次编辑，尚未配图，在此先请各位读者原谅

半小时后，博主过来补图：

1，安全组在哪找