两个实例之间内网无法通信

本文介绍了几个常见的安全组应用案例，同时包括专有网络（VPC）和经典网络 的安全组设置说明。

说明

• 创建安全组和添加安全组规则的详细操作，请参见   创建安全组  和   添加安全组规则。
• 常用端口，请参见   ECS 实例常用端口介绍。
• 常用端口的安全组规则配置，请参见   安全组规则的典型应用。

• 案例 1：实现内网互通

  场景举例：经典网络里，如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源，您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。

• 案例 2：屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问

  场景举例：如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题，您可以通过安全组设置拦截这些异常IP地址。

• 案例 3：只允许特定IP地址远程登录到实例

  场景举例：如果您的ECS实例被肉鸡，您可以修改远程登录端口号，并设置只允许特定的IP地址远程登录到您的ECS实例。

• 案例 4：只允许实例访问外部特定IP地址

  场景举例：如果您的ECS实例被肉鸡，对外恶意扫描或发包，您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。

• 案例 5：允许远程连接实例

  场景举例：您可以通过公网或内网远程连接到实例上，管理实例。

• 案例 6：允许公网通过HTTP、HTTPS等服务访问实例

  场景举例：您在实例上架设了一个网站，希望您的用户能通过HTTP或HTTPS服务访问到您的网站。

案例 1：实现内网互通

使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况：

• 场景 1：实例属于同一个地域、同一个账号
• 场景 2：实例属于同一个地域、不同账号

说明

对于VPC网络类型的ECS实例，如果它们在同一个VPC网络内，可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内（无论是否属于同一个账号或在同一个地域里），您可以 使用高速通道实现VPC互通。

案例 2：屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问

如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问，或者屏蔽特定IP地址访问ECS实例的特定端口（如本例中的TCP 22端口），您可以参考以下示例设置安全组规则：

• 如果要拒绝特定公网IP地址段对ECS所有端口的访问，添加如下表所示的安全组规则： 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段，采用CIDR格式，如a.b.c.d/27。

  关于CIDR格式介绍，请参见 ECS实例子网划分和掩码表示方法。

  1 经典网络 公网
• 如果要拒绝特定IP地址段对ECS特定端口（如TCP 22端口）的访问，添加如下安全组规则： 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段，采用CIDR格式，如a.b.c.d/27。

  关于CIDR格式介绍，请参见 ECS实例子网划分和掩码表示方法。

  1 经典网络 公网

案例 3：只允许特定IP地址远程登录到实例

如果您只想让某些特定IP地址远程登录到实例，可以参考以下示例的步骤在实例所在安全组里添加以下2条规则（以Linux实例为例，设置只让特定IP地址访问TCP 22端口）：

1. 允许特定IP地址访问TCP 22端口，优先级为1，优先级最高，最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址，如1.2.3.4。 1 经典网络 公网
2. 拒绝其他IP地址访问TCP 22端口，优先级为2，低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网

完成设置后：

• 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时，连接成功。
• 其他IP地址的机器远程连接Linux实例时，连接失败。

案例 4：只允许实例访问外部特定IP地址

如果您只想让实例访问特定的IP地址，参考以下示例的步骤在实例所在安全组中添加安全组规则：

1. 禁止实例以任何协议访问所有公网IP地址，优先级应低于允许访问的规则（如本例中设置优先级为2）。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网
2. 允许实例访问特定公网IP地址，优先级应高于拒绝访问的安全组规则的优先级（如本例中设置为1） 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址，如1.2.3.4。 1 经典网络 公网

添加了安全组规则后，在连接实例，执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址，说明安全组规则已经生效。

案例 5：允许远程连接实例

允许远程连接ECS实例分为两种情况：

• 场景 1：允许公网远程连接指定实例
• 场景 2：允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例

如果要允许公网远程连接实例，参考以下示例添加安全组规则。

• VPC：添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows：RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例，填写0.0.0.0/0。如果只允许特定IP地址远程连接实例，参见 案例 3：只允许特定IP地址远程登录到实例。 1 Linux：SSH(22) 22/22 自定义TCP 自定义
• 经典网络：添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows：RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例，填写0.0.0.0/0。如果只允许特定公网IP地址连接实例，参见 案例 3：只允许特定IP地址远程登录到实例。 1 Linux：SSH(22) 22/22 自定义TCP 自定义

自定义远程连接端口的详细操作，请参见 服务器默认远程端口修改。

案例 6：允许公网通过HTTP、HTTPS等服务访问实例

如果您在实例上架设了一个网站，希望您的用户能通过HTTP或HTTPS服务访问到您的网站，您需要在实例所在安全组中添加以下安全组规则。

• VPC：假设允许公网上所有IP地址访问您的网站，添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义，如8080/8080
• 经典网络：假设允许公网上所有IP地址访问您的网站，添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义，如8080/8080

说明

• 如果您无法通过 http://公网 IP 地址访问您的实例，请参见   检查TCP 80端口是否正常工作。
• 80端口是HTTP服务默认端口。如果要使用其他端口，如8080端口，您必须修改Web服务器配置文件中监听端口设置，具体操作，请参见   修改nginx/Tomcat等Web服务的端口监听地址  或   ECS Windows Server修改IIS监听的IP地址。