您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问:
所有的安全组,在未添加任何安全组规则之前,无论哪种网卡类型,出方向允许所有访问,入方向拒绝所有访问。所以,在添加安全组规则时,建议出方向只设置拒绝访问的规则,入方向只设置允许访问的规则。
安全组规则的变更会自动应用到安全组内的ECS实例上。
您已经创建了一个安全组,具体操作,请参见 创建安全组。
您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。
ping
程序检测实例之间的通信状况。
全部GRE
显示为-1/-1,表示不限制端口。不能设置。
用于VPN服务。
自定义TCP
自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。
可用于允许或拒绝一个或几个连续的端口。
自定义UDP
SSH
显示为22/22。连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。
用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。
实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。安全组规则一般是立即生效,但是也可能有稍许延迟。
假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。
如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。
netstat -an | grep 80
如果返回以下结果,说明TCP 80端口已开通。
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
http://实例公网IP地址
。如果访问成功,说明规则已经生效。
如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。
netstat -aon | findstr :80
如果返回以下结果,说明TCP 80端口已开通。
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1172
http://实例公网IP地址
。如果访问成功,说明规则已经生效。
安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。
ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下:
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。