什么是安全组?
安全组是一种虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通,可以授权两个安全组之间互访。详情请参考
安全组。
为什么在购买 ECS 实例的时候选择安全组?
在创建 ECS 实例之前,必须选择安全组来划分应用环境的安全域,授权安全组规则进行合理的网络安全隔离。这种情况下,选择特定的安全组来创建 ECS 实例就非常方便了。否则创建 ECS 实例都会分配到一个固定的安全组下面,还需要重新通过移出安全组以及加入新的安全组来实现网络安全隔离。
安全组配置错误造成的影响?
- 远程连接(SSH)Linux 实例和远程桌面连接 Windows 实例可能会失败。
- 远程 ping 该安全组下的 ECS 实例的公网 IP 和内网 IP 可能会失败。
- HTTP 访问该安全组下的 ECS 实例提供的 Web 服务可能会失败。
- 该安全组下 ECS 实例可能无法通过内网访问同地域(或者同 VPC)下的其他安全组下的 ECS 实例。
- 该安全组下 ECS 实例可能无法通过内网访问同地域下(或者同 VPC)的其他云服务。
- 该安全组下 ECS 实例可能无法访问 Internet 服务。
VPC 网络实例设置安全组规则时为什么不能设置公网规则?
VPC 网络实例的公网访问通过内网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。
为什么无法访问 25 端口?
基于安全考虑,ECS 服务器 25 端口默认受限,请提交工单申请解封,详情请参考
TCP 25 端口控制台解封申请。更多应用,请参考
经典网络的应用案例和
VPC ECS 实例公网访问控制。
为什么我的安全组里自动添加了很多规则?
如果您访问过 DMS,安全组中就会自动添加相关的规则,详见:
数据管理 DMS 登录云服务器的 IP 是什么?
如果您近期通过阿里云数据传输 DTS 功能迁移过数据,安全组中会自动添加 DTS 的服务 IP 地址相关的规则,详见:
ECS 安全组被添加内网 IP 地址。
为什么有些安全组规则的优先级是 110?
优先级为 110 的安全组规则是由系统创建的默认安全组规则,表示默认规则的优先级永远比您手动添加的安全组规则低,您可以随意覆盖。手动添加安全组规则时,优先级只能设置为 1−100。
为什么我在安全组里放行了 TCP 80 端口,还是无法访问 80 端口?
TCP 80 端口是否正常工作,请参考这个文档排查问题:
检查 TCP 80 端口是否正常工作。
