• 关于 协议类型 的搜索结果

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:13 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:12 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:10 0 浏览量 回答数 0

试用中心

为您提供0门槛上云实践机会,企业用户最高免费12个月

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:13 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:10 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:11 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:11 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:10 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:11 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:11 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:12 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:13 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:13 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:12 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。 常用端口,请参见 ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见 安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。

2019-12-01 22:57:12 0 浏览量 回答数 0

问题

NAS 地域与支持的存储类型和协议类型

问问小秘 2020-02-28 22:45:48 12 浏览量 回答数 1

问题

应用案例2

chenchuan 2019-12-01 21:34:19 629 浏览量 回答数 0

问题

安全组规则的典型应用

chenchuan 2019-12-01 21:34:19 657 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。 说明 创建安全组和添加安全组规则的详细操作,请参见   创建安全组  和   添加安全组规则。 常用端口,请参见   ECS 实例常用端口介绍。 常用端口的安全组规则配置,请参见   安全组规则的典型应用。 案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。 案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。 案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。 案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。 案例 1:实现内网互通 使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况: 场景 1:实例属于同一个地域、同一个账号 场景 2:实例属于同一个地域、不同账号 说明 对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。 场景 1:同一地域、同一账号 VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 不需要设置 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组ID 同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置: 场景 2:同一地域、不同账号 这部分的描述仅适用于经典网络类型的ECS实例。 同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如: UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。 UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。 在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB的ID,并在 账号ID 里填写UserB的ID 1 在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA的ID,并在 账号ID 里填写UserA的ID 1 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。 案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则: 如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则: 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 1 经典网络 公网 案例 3:只允许特定IP地址远程登录到实例 如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口): 允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的IP地址,如1.2.3.4。 1 经典网络 公网 拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2 经典网络 公网 完成设置后: 使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。 其他IP地址的机器远程连接Linux实例时,连接失败。 案例 4:只允许实例访问外部特定IP地址 如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则: 禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2 经典网络 公网 允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1) 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网IP地址,如1.2.3.4。 1 经典网络 公网 添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。 案例 5:允许远程连接实例 允许远程连接ECS实例分为两种情况: 场景 1:允许公网远程连接指定实例 场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例 场景 1:允许公网远程连接实例 如果要允许公网远程连接实例,参考以下示例添加安全组规则。 VPC:添加如下所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:添加如下表所示安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。 场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例 如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。 允许内网其他账号某个实例内网IP地址连接您的实例 VPC:先保证2个账号的实例   同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有IP地址 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络:应添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 允许内网其他账号某个安全组里的所有ECS实例连接您的实例 VPC类型的实例,先保证2个账号的实例   同账号VPC互连,再添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 经典网络实例,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方ECS实例所属的安全组ID,并填写对方账号ID 1 Linux:SSH(22) 22/22 自定义TCP 自定义 案例 6:允许公网通过HTTP、HTTPS等服务访问实例 如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。 网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1 HTTPS(443) 443/443 自定义TCP 自定义,如8080/8080 说明 如果您无法通过 http://公网 IP 地址访问您的实例,请参见   检查TCP 80端口是否正常工作。 80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见   修改nginx/Tomcat等Web服务的端口监听地址  或   ECS Windows Server修改IIS监听的IP地址。

微wx笑 2019-12-02 00:16:31 0 浏览量 回答数 0

回答

这是健康检查失败的表现,如果是7层HTTP协议类型的负载均衡服务,请确保您VM web server上配置了默认首页,因为HTTP协议类型的负载均衡服务默认是检查这个页面的。当然,您也可以自定义检查路径和具体的检查文件,可以在开启健康检查的配置中做详细的设置。针对4层TCP协议类型的负载均衡服务,要确保您设定的检查端口是可以访问的。

billlee 2019-12-02 03:17:02 0 浏览量 回答数 0

问题

应用案例3

chenchuan 2019-12-01 21:34:20 751 浏览量 回答数 0

问题

安全组规则的典型应用

boxti 2019-12-01 21:42:05 1364 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型、网络类型等。 规划负载均衡实例的地域 阿里云提供包括华北、华东、华南、亚太东南、亚太东北、欧洲中部、美国东部、美国西部、香港、中东东部在内的不同地域的负载均衡服务。 为了提供更加稳定可靠的负载均衡服务,阿里云负载均衡已在各地域部署了多可用区以实现同地域下的跨机房容灾。此外,您也可以在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。 在选择地域时,请注意: 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。 选择负载均衡实例的类型(公网或私网) 根据您的业务类型,确定负载均衡的实例类型。负载均衡实例创建后,系统会根据实例类型分配一个公网服务地址或私网服务地址。 公网负载均衡实例仅提供公网IP,可以通过Internet访问负载均衡服务。 如果您要创建公网类型的负载均衡实例,还需根据具体业务特点确定计费方式: 按流量计费:适用于波峰波谷效应明显的业务。 按带宽计费:适用于带宽较为平稳的业务。 私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。私网类型的负载均衡实例不收取费用。 选择监听协议 负载均衡提供四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)监听。 四层监听将请求直接转发给后端服务器,不会修改标头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端ECS建立TCP连接。 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端ECS建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。 由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。 准备后端服务器 您需要在负载均衡实例中添加ECS来处理前端监听转发的请求。在创建负载均衡前,需要创建好ECS实例并部署相关应用。创建ECS时,请注意: ECS实例的地域和可用区 确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高本地可用性。 ECS配置 在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保 net.ipv4.conf文件中的以下三个参数的值为0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 ECS部署 目前负载均衡实例后端可配置的ECS数量没有限制。但是,为了保证对外服务的稳定与高效,建议您根据业务分类或应用服务的模块划分,将提供不同服务或执行不同任务的应用服务器ECS添加到不同的负载均衡实例中。

2019-12-01 23:10:32 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型、网络类型等。 规划负载均衡实例的地域 阿里云提供包括华北、华东、华南、亚太东南、亚太东北、欧洲中部、美国东部、美国西部、香港、中东东部在内的不同地域的负载均衡服务。 为了提供更加稳定可靠的负载均衡服务,阿里云负载均衡已在各地域部署了多可用区以实现同地域下的跨机房容灾。此外,您也可以在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。 在选择地域时,请注意: 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。 选择负载均衡实例的类型(公网或私网) 根据您的业务类型,确定负载均衡的实例类型。负载均衡实例创建后,系统会根据实例类型分配一个公网服务地址或私网服务地址。 公网负载均衡实例仅提供公网IP,可以通过Internet访问负载均衡服务。 如果您要创建公网类型的负载均衡实例,还需根据具体业务特点确定计费方式: 按流量计费:适用于波峰波谷效应明显的业务。 按带宽计费:适用于带宽较为平稳的业务。 私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。私网类型的负载均衡实例不收取费用。 选择监听协议 负载均衡提供四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)监听。 四层监听将请求直接转发给后端服务器,不会修改标头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端ECS建立TCP连接。 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端ECS建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。 由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。 准备后端服务器 您需要在负载均衡实例中添加ECS来处理前端监听转发的请求。在创建负载均衡前,需要创建好ECS实例并部署相关应用。创建ECS时,请注意: ECS实例的地域和可用区 确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高本地可用性。 ECS配置 在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保 net.ipv4.conf文件中的以下三个参数的值为0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 ECS部署 目前负载均衡实例后端可配置的ECS数量没有限制。但是,为了保证对外服务的稳定与高效,建议您根据业务分类或应用服务的模块划分,将提供不同服务或执行不同任务的应用服务器ECS添加到不同的负载均衡实例中。

2019-12-01 23:10:32 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型、网络类型等。 规划负载均衡实例的地域 阿里云提供包括华北、华东、华南、亚太东南、亚太东北、欧洲中部、美国东部、美国西部、香港、中东东部在内的不同地域的负载均衡服务。 为了提供更加稳定可靠的负载均衡服务,阿里云负载均衡已在各地域部署了多可用区以实现同地域下的跨机房容灾。此外,您也可以在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。 在选择地域时,请注意: 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。 选择负载均衡实例的类型(公网或私网) 根据您的业务类型,确定负载均衡的实例类型。负载均衡实例创建后,系统会根据实例类型分配一个公网服务地址或私网服务地址。 公网负载均衡实例仅提供公网IP,可以通过Internet访问负载均衡服务。 如果您要创建公网类型的负载均衡实例,还需根据具体业务特点确定计费方式: 按流量计费:适用于波峰波谷效应明显的业务。 按带宽计费:适用于带宽较为平稳的业务。 私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。私网类型的负载均衡实例不收取费用。 选择监听协议 负载均衡提供四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)监听。 四层监听将请求直接转发给后端服务器,不会修改标头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端ECS建立TCP连接。 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端ECS建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。 由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。 准备后端服务器 您需要在负载均衡实例中添加ECS来处理前端监听转发的请求。在创建负载均衡前,需要创建好ECS实例并部署相关应用。创建ECS时,请注意: ECS实例的地域和可用区 确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高本地可用性。 ECS配置 在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保 net.ipv4.conf文件中的以下三个参数的值为0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 ECS部署 目前负载均衡实例后端可配置的ECS数量没有限制。但是,为了保证对外服务的稳定与高效,建议您根据业务分类或应用服务的模块划分,将提供不同服务或执行不同任务的应用服务器ECS添加到不同的负载均衡实例中。

2019-12-01 23:10:31 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型、网络类型等。 规划负载均衡实例的地域 阿里云提供包括华北、华东、华南、亚太东南、亚太东北、欧洲中部、美国东部、美国西部、香港、中东东部在内的不同地域的负载均衡服务。 为了提供更加稳定可靠的负载均衡服务,阿里云负载均衡已在各地域部署了多可用区以实现同地域下的跨机房容灾。此外,您也可以在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。 在选择地域时,请注意: 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。 选择负载均衡实例的类型(公网或私网) 根据您的业务类型,确定负载均衡的实例类型。负载均衡实例创建后,系统会根据实例类型分配一个公网服务地址或私网服务地址。 公网负载均衡实例仅提供公网IP,可以通过Internet访问负载均衡服务。 如果您要创建公网类型的负载均衡实例,还需根据具体业务特点确定计费方式: 按流量计费:适用于波峰波谷效应明显的业务。 按带宽计费:适用于带宽较为平稳的业务。 私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。私网类型的负载均衡实例不收取费用。 选择监听协议 负载均衡提供四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)监听。 四层监听将请求直接转发给后端服务器,不会修改标头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端ECS建立TCP连接。 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端ECS建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。 由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。 准备后端服务器 您需要在负载均衡实例中添加ECS来处理前端监听转发的请求。在创建负载均衡前,需要创建好ECS实例并部署相关应用。创建ECS时,请注意: ECS实例的地域和可用区 确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高本地可用性。 ECS配置 在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保 net.ipv4.conf文件中的以下三个参数的值为0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 ECS部署 目前负载均衡实例后端可配置的ECS数量没有限制。但是,为了保证对外服务的稳定与高效,建议您根据业务分类或应用服务的模块划分,将提供不同服务或执行不同任务的应用服务器ECS添加到不同的负载均衡实例中。

2019-12-01 23:10:32 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型、网络类型等。 规划负载均衡实例的地域 阿里云提供包括华北、华东、华南、亚太东南、亚太东北、欧洲中部、美国东部、美国西部、香港、中东东部在内的不同地域的负载均衡服务。 为了提供更加稳定可靠的负载均衡服务,阿里云负载均衡已在各地域部署了多可用区以实现同地域下的跨机房容灾。此外,您也可以在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。 在选择地域时,请注意: 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。 选择负载均衡实例的类型(公网或私网) 根据您的业务类型,确定负载均衡的实例类型。负载均衡实例创建后,系统会根据实例类型分配一个公网服务地址或私网服务地址。 公网负载均衡实例仅提供公网IP,可以通过Internet访问负载均衡服务。 如果您要创建公网类型的负载均衡实例,还需根据具体业务特点确定计费方式: 按流量计费:适用于波峰波谷效应明显的业务。 按带宽计费:适用于带宽较为平稳的业务。 私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。私网类型的负载均衡实例不收取费用。 选择监听协议 负载均衡提供四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)监听。 四层监听将请求直接转发给后端服务器,不会修改标头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端ECS建立TCP连接。 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端ECS建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。 由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。 准备后端服务器 您需要在负载均衡实例中添加ECS来处理前端监听转发的请求。在创建负载均衡前,需要创建好ECS实例并部署相关应用。创建ECS时,请注意: ECS实例的地域和可用区 确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高本地可用性。 ECS配置 在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保 net.ipv4.conf文件中的以下三个参数的值为0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 ECS部署 目前负载均衡实例后端可配置的ECS数量没有限制。但是,为了保证对外服务的稳定与高效,建议您根据业务分类或应用服务的模块划分,将提供不同服务或执行不同任务的应用服务器ECS添加到不同的负载均衡实例中。

2019-12-01 23:10:32 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型、网络类型等。 规划负载均衡实例的地域 阿里云提供包括华北、华东、华南、亚太东南、亚太东北、欧洲中部、美国东部、美国西部、香港、中东东部在内的不同地域的负载均衡服务。 为了提供更加稳定可靠的负载均衡服务,阿里云负载均衡已在各地域部署了多可用区以实现同地域下的跨机房容灾。此外,您也可以在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。 在选择地域时,请注意: 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。 选择负载均衡实例的类型(公网或私网) 根据您的业务类型,确定负载均衡的实例类型。负载均衡实例创建后,系统会根据实例类型分配一个公网服务地址或私网服务地址。 公网负载均衡实例仅提供公网IP,可以通过Internet访问负载均衡服务。 如果您要创建公网类型的负载均衡实例,还需根据具体业务特点确定计费方式: 按流量计费:适用于波峰波谷效应明显的业务。 按带宽计费:适用于带宽较为平稳的业务。 私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。私网类型的负载均衡实例不收取费用。 选择监听协议 负载均衡提供四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)监听。 四层监听将请求直接转发给后端服务器,不会修改标头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端ECS建立TCP连接。 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端ECS建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。 由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。 准备后端服务器 您需要在负载均衡实例中添加ECS来处理前端监听转发的请求。在创建负载均衡前,需要创建好ECS实例并部署相关应用。创建ECS时,请注意: ECS实例的地域和可用区 确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高本地可用性。 ECS配置 在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保 net.ipv4.conf文件中的以下三个参数的值为0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 ECS部署 目前负载均衡实例后端可配置的ECS数量没有限制。但是,为了保证对外服务的稳定与高效,建议您根据业务分类或应用服务的模块划分,将提供不同服务或执行不同任务的应用服务器ECS添加到不同的负载均衡实例中。

2019-12-01 23:10:32 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型、网络类型等。 规划负载均衡实例的地域 阿里云提供包括华北、华东、华南、亚太东南、亚太东北、欧洲中部、美国东部、美国西部、香港、中东东部在内的不同地域的负载均衡服务。 为了提供更加稳定可靠的负载均衡服务,阿里云负载均衡已在各地域部署了多可用区以实现同地域下的跨机房容灾。此外,您也可以在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。 在选择地域时,请注意: 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。 选择负载均衡实例的类型(公网或私网) 根据您的业务类型,确定负载均衡的实例类型。负载均衡实例创建后,系统会根据实例类型分配一个公网服务地址或私网服务地址。 公网负载均衡实例仅提供公网IP,可以通过Internet访问负载均衡服务。 如果您要创建公网类型的负载均衡实例,还需根据具体业务特点确定计费方式: 按流量计费:适用于波峰波谷效应明显的业务。 按带宽计费:适用于带宽较为平稳的业务。 私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。私网类型的负载均衡实例不收取费用。 选择监听协议 负载均衡提供四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)监听。 四层监听将请求直接转发给后端服务器,不会修改标头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端ECS建立TCP连接。 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端ECS建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。 由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。 准备后端服务器 您需要在负载均衡实例中添加ECS来处理前端监听转发的请求。在创建负载均衡前,需要创建好ECS实例并部署相关应用。创建ECS时,请注意: ECS实例的地域和可用区 确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高本地可用性。 ECS配置 在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保 net.ipv4.conf文件中的以下三个参数的值为0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 ECS部署 目前负载均衡实例后端可配置的ECS数量没有限制。但是,为了保证对外服务的稳定与高效,建议您根据业务分类或应用服务的模块划分,将提供不同服务或执行不同任务的应用服务器ECS添加到不同的负载均衡实例中。

2019-12-01 23:10:31 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 在使用负载均衡前,您需要根据您的业务确定负载均衡的监听类型、网络类型等。 规划负载均衡实例的地域 阿里云提供包括华北、华东、华南、亚太东南、亚太东北、欧洲中部、美国东部、美国西部、香港、中东东部在内的不同地域的负载均衡服务。 为了提供更加稳定可靠的负载均衡服务,阿里云负载均衡已在各地域部署了多可用区以实现同地域下的跨机房容灾。此外,您也可以在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。 在选择地域时,请注意: 为了减少延迟并提高下载速度,建议选择离您客户最近的地域。 由于负载均衡不支持跨地域部署,因此应选择与后端ECS实例相同的地域。 选择负载均衡实例的类型(公网或私网) 根据您的业务类型,确定负载均衡的实例类型。负载均衡实例创建后,系统会根据实例类型分配一个公网服务地址或私网服务地址。 公网负载均衡实例仅提供公网IP,可以通过Internet访问负载均衡服务。 如果您要创建公网类型的负载均衡实例,还需根据具体业务特点确定计费方式: 按流量计费:适用于波峰波谷效应明显的业务。 按带宽计费:适用于带宽较为平稳的业务。 私网负载均衡实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从Internet访问。私网类型的负载均衡实例不收取费用。 选择监听协议 负载均衡提供四层(TCP协议和UDP协议)和七层(HTTP协议和HTTPS协议)监听。 四层监听将请求直接转发给后端服务器,不会修改标头。客户端请求到达负载均衡监听后,负载均衡服务器会使用监听中配置的后端端口与后端ECS建立TCP连接。 七层监听原理上是反向代理的一种实现。客户端请求到达负载均衡监听后,负载均衡服务器会通过与后端ECS建立TCP连接,即再次通过新TCP连接HTTP协议访问后端,而不是直接转发报文到后端ECS。 由于七层监听比四层监听在底层实现上多了一个Tengine处理环节,因此,七层监听性能没有四层好。此外,客户端端口不足、后端服务器连接过多等场景也可能导致七层服务性能不高,如果您对性能有很高的要求,建议您使用四层监听。 准备后端服务器 您需要在负载均衡实例中添加ECS来处理前端监听转发的请求。在创建负载均衡前,需要创建好ECS实例并部署相关应用。创建ECS时,请注意: ECS实例的地域和可用区 确保ECS实例的地域和负载均衡实例的地域相同。此外,建议您将ECS部署在不同的可用区内,提高本地可用性。 ECS配置 在ECS上部署好应用后,不需要再进行特别的配置。但如果您要配置一个四层监听(TCP协议或UDP协议),并且ECS使用的是Linux系统,确保 net.ipv4.conf文件中的以下三个参数的值为0: net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 ECS部署 目前负载均衡实例后端可配置的ECS数量没有限制。但是,为了保证对外服务的稳定与高效,建议您根据业务分类或应用服务的模块划分,将提供不同服务或执行不同任务的应用服务器ECS添加到不同的负载均衡实例中。

2019-12-01 23:10:32 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 云栖号物联网 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站 云栖号弹性计算 阿里云云栖号 云栖号案例 云栖号直播