• 关于

    地址段

    的搜索结果

问题

VPC下 Kubernetes 的网络地址段规划

青蛙跳 2019-12-01 21:33:05 513 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1

2019-12-01 23:10:53 0 浏览量 回答数 0

问题

添加安全策略组后家里FTP无法连接

五洲妇儿 2019-12-01 20:27:32 2072 浏览量 回答数 1

阿里云试用中心,为您提供0门槛上云实践机会!

0元试用32+款产品,最高免费12个月!拨打95187-1,咨询专业上云建议!

回答

详细解答可以参考官方帮助文档如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网

2019-12-01 22:57:10 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。 本文档介绍了常用的专有网络内ECS实例的安全组设置。 案例 1:内网互通 同一VPC内的相同安全组下的ECS实例,默认互通。 不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。 安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1

2019-12-01 23:10:54 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。 本文档介绍了常用的专有网络内ECS实例的安全组设置。 案例 1:内网互通 同一VPC内的相同安全组下的ECS实例,默认互通。 不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。 安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1

2019-12-01 23:10:54 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。 本文档介绍了常用的专有网络内ECS实例的安全组设置。 案例 1:内网互通 同一VPC内的相同安全组下的ECS实例,默认互通。 不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。 安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1

2019-12-01 23:10:54 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。 本文档介绍了常用的专有网络内ECS实例的安全组设置。 案例 1:内网互通 同一VPC内的相同安全组下的ECS实例,默认互通。 不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。 安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1

2019-12-01 23:10:54 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。 本文档介绍了常用的专有网络内ECS实例的安全组设置。 案例 1:内网互通 同一VPC内的相同安全组下的ECS实例,默认互通。 不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。 安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。 安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1

2019-12-01 23:10:54 0 浏览量 回答数 0

回答

每一个进程都有自己的内存虚拟地址空间,内存最小的单位是页(page).虚拟地址通过页表(Page Table)映射到物理内存,页表由操作系统维护并被CPU引用.Linux默认的栈(stack)大小为8MB.用户进程部分分段存储内容如下所示(从内存高地址到低地址):栈(stack): 函数参数、返回地址、局部变量等堆(heap): malloc(C)/new(C++)动态分配的内存BSS段(bss): 未初始化或初值为0的全局变量和静态局部变量数据段(data): 已初始化且初值非0的全局变量和静态局部变量代码段(text): 可执行代码、字符串字面值、只读变量详细解释:1.内核空间内核总是驻留在内存中,是操作系统的一部分。内核空间为内核保留,不允许应用程序读写该区域的内容或直接调用内核代码定义的函数。2.栈(stack)栈又称堆栈,由编译器自动分配释放,行为类似数据结构中的栈(先进后出)。堆栈主要有三个用途:(1)为函数内部声明的非静态局部变量(C语言中称“自动变量”)提供存储空间。(2)记录函数调用过程相关的维护性信息,称为栈帧(Stack Frame)或过程活动记录(Procedure Activation Record)。它包括函数返回地址,不适合装入寄存器的函数参数及一些寄存器值的保存。除递归调用外,堆栈并非必需。因为编译时可获知局部变量,参数和返回地址所需空间,并将其分配于BSS段。(3)临时存储区,用于暂存长算术表达式部分计算结果或alloca()函数分配的栈内内存。持续地重用栈空间有助于使活跃的栈内存保持在CPU缓存中,从而加速访问。进程中的每个线程都有属于自己的栈。向栈中不断压入数据时,若超出其容量就会耗尽栈对应的内存区域,从而触发一个页错误。此时若栈的大小低于堆栈最大值RLIMIT_STACK(Linux通常是8M),则栈会动态增长,程序继续运行。映射的栈区扩展到所需大小后,不再收缩。Linux中ulimit -s命令可查看和设置堆栈最大值,当程序使用的堆栈超过该值时, 发生栈溢出(Stack Overflow),程序收到一个段错误(Segmentation Fault)。注意,调高堆栈容量可能会增加内存开销和启动时间。堆栈既可向下增长(向内存低地址)也可向上增长, 这依赖于具体的实现。本文所述堆栈向下增长。堆栈的大小在运行时由内核动态调整。3.内存映射段(mmap)此处,内核将硬盘文件的内容直接映射到内存,任何应用程序都可通过Linux的mmap()系统调用或Windows的CreateFileMapping()/MapViewOfFile()请求这种映射。内存映射是一种方便高效的文件I/O方式,因而被用于装载动态共享库。用户也可创建匿名内存映射,该映射没有对应的文件,可用于存放程序数据。在Linux中,若通过malloc()请求一大块内存,C运行库将创建一个匿名内存映射,而不使用堆内存。“大块”意味着比阈值MMAP_THRESHOLD还大,缺省为128KB,可通过mallopt()调整。该区域用于映射可执行文件用到的动态链接库。在Linux 2.4内核中,若可执行文件依赖共享库,则系统会为这些动态库在从0x40000000开始的地址分配相应空间,并在程序装载时将其载入到该空间。在Linux 2.6内核中,共享库的起始地址被往上移动至更靠近栈区的位置。从进程地址空间的布局可以看到,在有共享库的情况下,留给堆的可用空间还有两处:一处是从BSS段到0x40000000,约不到1GB的空间;另一处是从共享库到栈之间的空间,约不到2GB。这两块空间大小取决于栈、共享库的大小和数量。这样来看,是否应用程序可申请的最大堆空间只有2GB?事实上,这与Linux内核版本有关。在上面给出的进程地址空间经典布局图中,共享库的装载地址为0x40000000,这实际上是Linux kernel 2.6版本之前的情况了,在2.6版本里,共享库的装载地址已经被挪到靠近栈的位置,即位于0xBFxxxxxx附近,因此,此时的堆范围就不会被共享库分割成2个“碎片”,故kernel 2.6的32位Linux系统中,malloc申请的最大内存理论值在2.9GB左右。4.堆(heap)堆用于存放进程运行时动态分配的内存段,可动态扩张或缩减。堆中内容是匿名的,不能按名字直接访问,只能通过指针间接访问。当进程调用malloc(C)/new(C++)等函数分配内存时,新分配的内存动态添加到堆上(扩张);当调用free(C)/delete(C++)等函数释放内存时,被释放的内存从堆中剔除(缩减) 。分配的堆内存是经过字节对齐的空间,以适合原子操作。堆管理器通过链表管理每个申请的内存,由于堆申请和释放是无序的,最终会产生内存碎片。堆内存一般由应用程序分配释放,回收的内存可供重新使用。若程序员不释放,程序结束时操作系统可能会自动回收。堆的末端由break指针标识,当堆管理器需要更多内存时,可通过系统调用brk()和sbrk()来移动break指针以扩张堆,一般由系统自动调用。使用堆时经常出现两种问题:(1) 释放或改写仍在使用的内存(“内存破坏”);(2) 未释放不再使用的内存(“内存泄漏”)。当释放次数少于申请次数时,可能已造成内存泄漏。泄漏的内存往往比忘记释放的数据结构更大,因为所分配的内存通常会圆整为下个大于申请数量的2的幂次(如申请212B,会圆整为256B)。注意,堆不同于数据结构中的”堆”,其行为类似链表。5.BSS段BSS(Block Started by Symbol)段中通常存放程序中以下符号:未初始化的全局变量和静态局部变量.初始值为0的全局变量和静态局部变量(依赖于编译器实现).未定义且初值不为0的符号(该初值即common block的大小).C语言中,未显式初始化的静态分配变量被初始化为0(算术类型)或空指针(指针类型)。由于程序加载时,BSS会被操作系统清零,所以未赋初值或初值为0的全局变量都在BSS中。BSS段仅为未初始化的静态分配变量预留位置,在目标文件中并不占据空间,这样可减少目标文件体积。但程序运行时需为变量分配内存空间,故目标文件必须记录所有未初始化的静态分配变量大小总和(通过start_bss和end_bss地址写入机器代码)。当加载器(loader)加载程序时,将为BSS段分配的内存初始化为0。在嵌入式软件中,进入main()函数之前BSS段被C运行时系统映射到初始化为全零的内存(效率较高)。注意,尽管均放置于BSS段,但初值为0的全局变量是强符号,而未初始化的全局变量是弱符号。若其他地方已定义同名的强符号(初值可能非0),则弱符号与之链接时不会引起重定义错误,但运行时的初值可能并非期望值(会被强符号覆盖)。因此,定义全局变量时,若只有本文件使用,则尽量使用static关键字修饰;否则需要为全局变量定义赋初值(哪怕0值),保证该变量为强符号,以便链接时发现变量名冲突,而不是被未知值覆盖。某些编译器将未初始化的全局变量保存在common段,链接时再将其放入BSS段。在编译阶段可通过-fno-common选项来禁止将未初始化的全局变量放入common段。此外,由于目标文件不含BSS段,故程序烧入存储器(Flash)后BSS段地址空间内容未知。U-Boot(一个嵌入式操作系统引导程序)启动过程中,将U-Boot的Stage2代码(通常位于lib_xxxx/board.c文件)搬迁(拷贝)到SDRAM空间后必须人为添加清零BSS段的代码,而不可依赖于Stage2代码中变量定义时赋0值。BSS段不包含数据,仅维护开始和结束地址,以便内存能在运行时被有效地清零。BSS所需的运行时空间由目标文件记录,但BSS并不占用目标文件内的实际空间,即BSS节段应用程序的二进制映象文件中并不存在。6.数据段(data)数据段通常用于存放程序中已初始化且初值不为0的全局变量和静态局部变量。数据段属于静态内存分配(静态存储区),可读可写。数据段保存在目标文件中(在嵌入式系统里一般固化在镜像文件中),其内容由程序初始化。例如,对于全局变量int gVar = 10,必须在目标文件数据段中保存10这个数据,然后在程序加载时复制到相应的内存。数据段与BSS段的区别如下: (1) BSS段不占用物理文件尺寸,但占用内存空间;数据段占用物理文件,也占用内存空间。对于大型数组如int ar0[10000] = {1, 2, 3, ...}和int ar1[10000],ar1放在BSS段,只记录共有10000*4个字节需要初始化为0,而不是像ar0那样记录每个数据1、2、3...,此时BSS为目标文件所节省的磁盘空间相当可观。(2) 当程序读取数据段的数据时,系统会发出缺页故障,从而分配相应的物理内存;当程序读取BSS段的数据时,内核会将其转到一个全零页面,不会发生缺页故障,也不会为其分配相应的物理内存。运行时数据段和BSS段的整个区段通常称为数据区。某些资料中“数据段”指代数据段 + BSS段 + 堆。7.代码段(text)代码段也称正文段或文本段,通常用于存放程序执行代码(即CPU执行的机器指令)。一般C语言执行语句都编译成机器代码保存在代码段。通常代码段是可共享的,因此频繁执行的程序只需要在内存中拥有一份拷贝即可。代码段通常属于只读,以防止其他程序意外地修改其指令(对该段的写操作将导致段错误)。某些架构也允许代码段为可写,即允许修改程序。代码段指令根据程序设计流程依次执行,对于顺序指令,只会执行一次(每个进程);若有反复,则需使用跳转指令;若进行递归,则需要借助栈来实现。代码段指令中包括操作码和操作对象(或对象地址引用)。若操作对象是立即数(具体数值),将直接包含在代码中;若是局部数据,将在栈区分配空间,然后引用该数据地址;若位于BSS段和数据段,同样引用该数据地址。代码段最容易受优化措施影响。8.保留区(reservd)位于虚拟地址空间的最低部分,未赋予物理地址。任何对它的引用都是非法的,用于捕捉使用空指针和小整型值指针引用内存的异常情况。它并不是一个单一的内存区域,而是对地址空间中受到操作系统保护而禁止用户进程访问的地址区域的总称。大多数操作系统中,极小的地址通常都是不允许访问的,如NULL。C语言将无效指针赋值为0也是出于这种考虑,因为0地址上正常情况下不会存放有效的可访问数据。在32位x86架构的Linux系统中,用户进程可执行程序一般从虚拟地址空间0x08048000开始加载。该加载地址由ELF文件头决定,可通过自定义链接器脚本覆盖链接器默认配置,进而修改加载地址。0x08048000以下的地址空间通常由C动态链接库、动态加载器ld.so和内核VDSO(内核提供的虚拟共享库)等占用。通过使用mmap系统调用,可访问0x08048000以下的地址空间。

a123456678 2019-12-02 02:41:17 0 浏览量 回答数 0

问题

ecs安全组策略要怎么设置 连接不成功

leo_ab 2019-12-01 19:08:43 339 浏览量 回答数 3

回答

fe80开头的是局网地址,其中fe80是网段号; 另外三个是外网地址.外网地址共有8段,前4段是外网网段号,可以看到上例中都相同.后4段有所不同. 我的电脑有2个外网地址,一个是固定外网地址,一般不用.一个是隐私外网地址,也就是访问外网时用的地址,它是能改变的,为了不让追踪到你. 如果你的电脑要作服务器需要固定地址时会要用到上面的固定外网地址.

1448468103127191 2019-12-02 02:09:17 0 浏览量 回答数 0

回答

这个涉及虚表的实现,当一个类继承多个类的时候,例如class b{int g;virtual void h();}class c{int t;}class a : public b, public c{int i;virtual void f();}那么在a中就有两个段,继承自b类的数据段和继承自c类的数据段,也就意味着a类中有俩个地址段。编译器是如何实现在a类中数据段c中的t成员的查找呢?首先a* j = new a;c* s = j;int k = s->t;j变量转换成s变量的时候,其实是发生了地址偏移的,比如变量j起始地址是0x234,那么j中b类数据段的起始地址也就是0x234,但是c类数据段就是0x234 + sizeof(b);基于这个原因,所以在类a中要用类c的虚函数,就必须先将地址偏移到类c数据段,找到虚表指针,然后调用。第一个基类和当前类公用一个虚表指针。节省虚表指针有个前提,就是子类必须有虚函数,如果没有不管怎么换顺序,结果是一样的

a123456678 2019-12-02 01:59:52 0 浏览量 回答数 0

回答

原则上说是这样的,但是还受物理地址限制,如果物理地址是32位的,那么搞再多段也没用。32位机器为了扩展4g以上内存,intel扩展了物理地址,可以使用36位,即总共64G内存。用16个段就可以访问。但是目前操作系统为了方便,都把段基址设置成0,因此一个进程只能使用4G空间。要使用超过4G空间,需要操作系统的mmap,或者使用更多的进程。程序的段可以分很多个,常见的.text,.data,.bss。但这个跟操作系统的段关系不大,操作系统一般只给应用程序2个段,一个.text,代码段,其他数据段包括堆栈都用一个。

a123456678 2019-12-02 02:57:27 0 浏览量 回答数 0

回答

首先分网段,你给个一段IP区间有什么用?网段是由 IP+掩码 才能确定119.115.0.0--119.115.255.255 分配如下地址119.115.136.132,119.115.136.135 // 119.115.136.132-135119.115.141.0,119.115.141.15 //119.115.141.15.0-15119.115.136.88,119.115.136.91 //119.115.136.88-91 你这是公网地址吧?第一个地址段: 132-135 132 是 网络号 135 是 广播号 无法用, 你只能用 133 134 这2个IP用第二个地址段:同上你只能用16-2 = 14个IP 第三个地址段:同上 你只能2个地址段

落地花开啦 2019-12-02 02:47:36 0 浏览量 回答数 0

回答

Re阿里云服务器ping不通 入方向出方向 授权策略协议类型端口范围授权类型授权对象描述优先级创建时间操作允许自定义 TCP8080/8080地址段访问0.0.0.0/0web访问12018-03-05 13:07:02修改描述|克隆|删除允许自定义 TCP21/21地址段访问0.0.0.0/0ftp12018-03-05 13:07:02修改描述|克隆|删除允许自定义 TCP443/443地址段访问0.0.0.0/0System created rule.1002018-03-05 13:07:02修改描述|克隆|删除允许自定义 TCP22/22地址段访问0.0.0.0/0System created rule.1002018-03-05 13:07:02修改描述|克隆|删除允许全部 ICMP-1/-1地址段访问0.0.0.0/0System created rule.1002018-03-05 13:07:02修改描述|克隆|删除允许自定义 TCP3389/3389地址段访问0.0.0.0/0System created rule.1002018-03-05 13:07:02修改描述|克隆|删除允许自定义 TCP80/80地址段访问0.0.0.0/0System created rule.1002018-03-05 13:07:02修改描述|克隆|删除 ------------------------- Re阿里云服务器ping不通 这样配置的 ------------------------- Re阿里云服务器ping不通 有人吗 ------------------------- Re阿里云服务器ping不通 没有客服么

赌王斗千王 2019-12-01 23:55:02 0 浏览量 回答数 0

问题

防火墙问题

李超超超超 2019-12-01 19:14:21 202 浏览量 回答数 1

问题

偏移地址小问题不理解 汇编问题

DM。 2020-05-27 10:26:07 5 浏览量 回答数 1

问题

我申请的阿里云ECS云服务器ping不通。

iiffaabb 2019-12-01 21:56:05 9493 浏览量 回答数 4

问题

怎么校验ip地址

蛮大人123 2019-12-01 19:56:51 1069 浏览量 回答数 2

回答

为了编程方便和系统的安全性,人们发明了逻辑地址。在编程的时候写的地址就是逻辑地址,任何32位程序逻辑地址的取值范围都是 0x00000000-0xFFFFFFFF ,逻辑地址按照一定的方式转换成物理地址。每个进程的逻辑地址转换之后并不相同。所以这样就隔离的不同的进程,一个进程不能通过指针访问其他进程中的数据,所以比较安全。另外在一个进程看来,他独享了4GB(其中有一部分被操作系统占用)的内存空间。本程序不需要考虑其他进程的影响,所以编程的时候认为所有本程序独享了4GB的内存,程序写起来比较方便。每段代码都需要一个 GDT 数据结构,其中保存了段的基址(每个段不同)。逻辑地址+基址 得到一个线性地址,线性地址是唯一的(如果不同进程转换或后的线性地址相同那么他们是指同一段内存),但是线性地址还不能直接作为物理地址,因为我们需要一种虚拟内存技术(每个进程可以独享4GB,多个进程就可能需要的内存超出总内存,那么我们就把与部分数据保存到硬盘上),线性地址在通过查表的方式确定其对应的物理内存地址。如果查表的结果是在硬盘(虚拟内存)上,那么就需要从硬盘上把这部分数据移到物理内存中,返回这个物理内存的地址[注1]。注1: 如果内存不够,就会先把部分内存的数据放到虚拟内存里,然后在把需要的数据从虚拟内存读到实际内存。一般情况下个会比较费时,所以如果线性地址查表的结果是在虚拟内存里,会产生一个缺页中断 暂时挂起这个进程。

a123456678 2019-12-02 02:42:09 0 浏览量 回答数 0

回答

Re感觉好坑啊,万网的服务器ip是铁通的 IPV4地址现在本来就紧缺,加上阿里云业务的拓展,导致原有的IP地址段不能满足需求,所以从APNIC又拿了4个B段121.40.1.1/22(121.40.1.1-121.43.255.255),可能此IP段原来在IP地址查询数据库中是属于其他ISP,但是目前已经归阿里所有,其路由走向和阿里的其他同机房IP段是一致的,所以不必担心!

high飞起 2019-12-02 00:01:27 0 浏览量 回答数 0

问题

Linux如何管理内核的数据段?

杨冬芳 2019-12-01 20:21:30 947 浏览量 回答数 2

回答

首先,没不同。其次,你的题目中的代码应该是写的和想的有问题的:int *a = 2; 这行的意思是创建int指针a,指针指向0x2这个地址。按照你的题目的想法,正确的写法是: int v = 2; int *a = &v; 所以,你oc那段代码 printf("%d",a) -> 2,输出的是a指向的地址,所以是2而c那段,printf("%d",*a) -> 2,输出的是0x2这个地址的内容,一般而言,很多操作系统对程序的这个范围内的地址的访问会发生段错误,如果你能输出2且没错误,只能说这个进程的0x2这个地址没被保护可以访问,且内容正好是2而已。

世界线跳跃者 2019-12-02 03:15:00 0 浏览量 回答数 0

问题

如何通过 SMTP 方式发送带附件的邮件?

轩墨 2019-12-01 21:05:41 1543 浏览量 回答数 0

回答

详细信息 在服务器上运行网站时,会遇到大量的恶意IP地址攻击访问,或者出现非法盗链和恶意采集网站资源的情况。如果您使用Apache服务运行网站,可以通过其根目录下的.htaccess文件限制某些IP地址对网站的访问。   禁止特定IP地址访问 以下是禁止特定地址访问,但其他IP地址可以正常访问的设置方法。禁止特定的IP地址可根据现场实际情况而定,本文以123.0.0.1地址为例。 Order Allow,DenyAllow from allDeny from 123.0.0.1   禁止部分IP地址访问 以下是禁止部分地址访问,但其他IP地址可以访问的设置方法。禁止的部分IP地址访问可根据现场实际情况而定,本文以123.0.0.1、123.0.0.2和123.0.0.3地址为例。 Order Allow,DenyAllow from allDeny from 123.0.0.1 123.0.0.2 123.0.0.3   禁止IP地址段访问 以下是禁止IP地址段访问的设置方法。禁止的IP地址段可根据现场实际情况而定,本文以192.168.1.0/24地址段为例。 Order Allow,DenyAllow from allDeny from 192.168.1. ?   关于使用.htaccess文件限制IP地址访问的注意事项如下。 Order关键字可以决定Allow和Deny起作用的顺序,简单的说就是谁排在最后,谁就有最终的决定权。Allow表示允许,Deny表示拒绝。 Order Deny,Allow是先检查是否有Deny规则,无论有没有Deny规则都会继续检查是否有Allow规则,如果有Allow,则Allow规则的内容可以覆盖掉Deny规则。 Order Allow,Deny则与上一条的内容相反。 以下是禁止所有IP地址访问的设置方法。 Order Allow,DenyAllow from 123.0.0.1Deny from all 注: Order Allow,Deny为先检查Allow,由Deny拥有决定权。 Allow from 123.0.0.1为只允许123.0.0.1地址访问网站。 Deny from all为禁止所有IP地址访问网站。 以下是只允许特定IP地址访问网站的设置方法,本文以123.0.0.1地址为例。 Order Deny,AllowDeny from all Allow from 123.0.0.1 注: Order Deny Allow为先检查Deny,由Allow拥有决定权。 Deny from all为禁止所有IP地址访问网站。 Allow from 123.0.0.1为只允许123.0.0.1地址访问网站。

KB小秘书 2019-12-02 01:27:50 0 浏览量 回答数 0

问题

新买的服务器,外网无法访问我的网站!

frankgao 2019-12-01 21:17:43 3807 浏览量 回答数 4

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:12 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:10 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:13 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 企业信息查询 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站