• 关于 oracle12c无法连接 的搜索结果

问题

连接远程数据库报错“ora-12154:tns:无法解析指定的连接标识符”?报错

爱吃鱼的程序员 2020-06-08 21:03:35 0 浏览量 回答数 1

问题

ubuntu eclipse C++ oracle 的连接问题?报错

爱吃鱼的程序员 2020-06-08 11:26:33 0 浏览量 回答数 1

回答

详细解答可以参考官方帮助文档使用 数据传输服务 DTS 可以将本地的 Oracle 数据库中的数据迁移至 RDS for MySQL 实例。数据传输 DTS (以下简称 DTS)可以实现结构迁移、全量数据迁移以及增量数据迁移。通过三种迁移方式的结合,可以在保持源 Oracle 数据库实例正常对外提供服务的情况下,实现 Oracle 数据库的不停服迁移。 注:当前 DTS 已经可以支持将本地的 Oracle 数据库中的数据迁移至 RDS for MySQL 实例时,数据的反向回流,帮助用户在应用按模块切换过程中,将 RDS for MySQL 实例中产生的数据变化同步回本地的 Oracle 数据库。如有需求,请提交工单咨询开通。 本小节简单介绍使用 DTS 进行 Oracle->RDS for MySQL 数据迁移的任务配置流程。 迁移步骤对于 Oracle->RDS for MySQL 的迁移,支持结构迁移、全量数据迁移以及增量数据迁移。各迁移类型的限制如下: 结构迁移DTS 会将迁移对象的结构定义迁移到目标实例。目前 DTS 支持结构迁移的对象包括:表。其他对象如视图、同义词、触发器、存储过程、存储函数、包、自定义类型等暂不支持。 全量数据迁移DTS 会将源数据库迁移对象的存量数据全部迁移到目标 RDS for MySQL 实例。如果仅做全量数据迁移,不做增量数据迁移,迁移过程中,如果源 Oracle 数据库有数据更新的话,那么这部分数据增量变化不一定能够被迁移到目标 RDS for MySQL 中。所以,如果仅做全量数据迁移,不做增量数据迁移,为保证迁移数据一致性,在数据迁移过程中,源端的 Oracle 实例需停止写入。 增量数据迁移增量迁移过程中,DTS 会轮询并捕获源 Oracle 实例由于数据变化产生的重做日志 redo log,然后将数据变化的增量实时同步到目标 RDS for MySQL 实例,通过增量数据迁移可以实现目标 RDS for MySQL 实例同源 Oracle 数据库实例的实时数据同步。 迁移权限要求 当使用 DTS 进行 Oracle->RDS for MySQL 迁移时,在不同迁移类型情况下,对源和目标数据库的迁移帐号权限要求如下: 迁移类型 结构迁移 全量迁移 增量数据迁移 本地 Oracle 实例 schema 的 owner schema 的 owner SYSDBA 目的 RDS for MySQL 实例 待迁入 db 的读写权限 待迁入 db 的读写权限 待迁入 db 的读写权限 迁移前置条件 待迁移 Oracle 数据库的版本为 10g,11g,12c。Oracle 数据库实例开启 supplemental log,且要求 supplemental_log_data_pk,supplemental_log_data_ui 开启。Oracle 数据库实例要求开启 archive log 归档模式,保证归档日志能够被访问并有一定的保存周期。 数据类型映射关系由于 Oracle 和 MySQL 的数据类型并不是一一对应的,所以 DTS 在进行结构迁移时,会根据两种数据库类型的数据类型定义,进行类型映射,下面是数据类型映射关系。 Oracle 数据类型 MySQL 数据类型 DTS 是否支持 varchar2(n [char/byte]) varchar(n) 支持 nvarchar2[(n)] national varchar[(n)] 支持 char[(n [byte/char])] char[(n)] 支持 nchar[(n)]] national char[(n)] 支持 number[(p[,s])] decimal[(p[,s])] 支持 float(p)] double 支持 long longtext 支持 date datetime 支持 binary_float decimal(65,8) 支持 binary_double double 支持 timestamp[(fractional_seconds_precision)] datetime[(fractional_seconds_precision)] 支持 timestamp[(fractional_seconds_precision)]with local time zone datetime[(fractional_seconds_precision)] 支持 timestamp[(fractional_seconds_precision)]with local time zone datetime[(fractional_seconds_precision)] 支持 clob longtext 支持 nclob longtext 支持 blob longblob 支持 raw varbinary(2000) 支持 long raw longblob 支持 bfile — 不支持 interval year(year_precision) to mongth — 不支持 interval day(day_precision) to second[(fractional_seconds_precision)] — 不支持 对于 char 类型,当 char(n) 的定义长度 n 超过 255 时,DTS 会自动将类型转换为 varchar(n)。由于 MySQL 本身不支持类似 Oracle 中的 bfile、interval year to month、interval day to second 这三种数据类型,所以 DTS 在进行结构迁移时,无法在 MySQL 中找到合适的数据类型进行映射,因此这三种类型不会进行转化。迁移时如果表中含有这三种类型,会导致结构迁移失败,用户可以在指定迁移对象的时候,对需要迁移的对象中这三种类型的列进行排除。由于 MySQL 的 timestamp 类型不包含时区,而 Oracle 的 timestamp with time zone 和 timestamp with local time zone 两种类型默认带有时区信息,所以 DTS 在迁移这两种类型的数据时,会将其转换成 UTC 时区后存入目标 RDS for MySQL 实例。 迁移步骤下面详细介绍下使用 DTS 将本地 Oracle 数据库中的数据迁移到 RDS for MySQL 实例的任务配置流程。 创建 RDS for MySQL 实例在数据迁移过程中,如果待迁移的数据库在目标 RDS for MySQL 实例中不存在,那么 DTS 会自动创建。但是对于如下两种情况,用户需要在配置迁移任务之前,手动创建数据库。 数据库名称不符合 RDS 定义规范(由小写字母、数字、下划线、中划线组成,字母开头,字母或数字结尾,最长 64 个字符)。待迁移数据库,在源 Oracle 与目标 RDS for MySQL 实例中名称不同。 对于这两种情况,用户需要在配置迁移任务之前,先在 RDS 控制台完成数据库创建。具体参考 RDS 数据库创建流程 RDS 使用手册。 创建迁移帐号迁移任务配置,需要提供 Oracle 数据库及目标 RDS 实例的迁移账号。迁移账号所需权限详见上文的 迁移权限要求。 如果您的源 Oracle 实例的迁移账号尚未创建,那么您可以参考 Oracle Grant 语法说明,创建满足要求的迁移账号。 RDS for MySQL 迁移账号的创建及授权操作详见 RDS 使用手册。 迁移任务配置当上面的所有前置条件都配置完成后,就可以开始迁移任务配置。下面详细介绍下具体的迁移步骤。 进入数据传输服务 DTS 控制台,单击右上角的创建迁移任务,正式开始任务配置。本地 Oracle 数据库实例及目标 RDS for MySQL 实例的连接信息配置。 这个步骤主要配置迁移任务名称,Oracle 数据库实例连接信息及目标 RDS for MySQL 实例连接信息。其中: 任务名称 DTS 为每个任务自动生成一个任务名称,任务名称没有唯一性要求。您可以根据需要修改任务名称,建议为任务配置具有业务意义的名称,便于后续的任务识别。 源实例信息 实例类型:选择 有公网 IP 的自建数据库数据库类型: 选择 Oracle主机名或IP地址: 配置 Oracle 访问地址,这个地址必须为公网访问方式端口:Oracle 数据库实例的监听端口SID:Oracle 数据库实例的 SID账号:Oracle 数据库实例的连接账号密码:上面指定的 Oracle 数据库实例的连接账号对应的密码 目标实例信息 实例类型:选择 RDS 实例RDS 实例 ID: 配置迁移的目标 RDS for MySQL 实例的实例 ID。 DTS 支持经典网络和 VPC 网络的 RDS实例账号:RDS for MySQL 实例的连接账号密码:上面指定的 RDS for MySQL 实例连接账号对应的密码 当配置完连接信息后,单击右下角 授权白名单并进入下一步 进行白名单授权。这个步骤 DTS 会将 DTS 服务器的 IP 地址添加到目标 RDS for MySQL 实例的白名单中,避免因为 RDS 实例设置了白名单,导致 DTS 服务器连接不上 RDS for MySQL 实例导致迁移失败。 迁移对象及迁移类型配置。 迁移类型包括:结构迁移、全量数据迁移、增量数据迁移。默认选择 结构迁移+全量数据迁移。 迁移对象,需要选择您要迁移的对象。迁移对象选择的粒度可以为:库、表、列三个粒度。 默认情况下,对象迁移到 RDS for MySQL 实例后,对象名与源 Oracle 数据库中一致。如果您迁移的对象在源实例与目标实例上名称不同,那么需要使用 DTS 提供的对象名映射功能,详细使用方式可以参考 库表列映射。 当配置完迁移对象及迁移类型后,即进入任务启动前的预检查步骤。 任务预检查。 在迁移任务正式启动之前,会先进行前置预检查,只有预检查通过后,才能成功启动迁移。 如果预检查失败,那么可以点击具体检查项后的按钮,查看具体的失败详情,并根据失败原因修复后,重新进行预检查。 启动迁移任务。 当预检查通过后,我们可以启动迁移任务,任务启动后,可以到任务列表中查看任务具体的迁移状态及进度。 当任务进入增量数据迁移阶段,任务不会自动停止,且一旦源 Oracle 数据库实例有增量写入,增量数据就会自动同步到目标 RDS for MySQL 实例。增量数据迁移是个动态同步的过程,建议在增量迁移达到无延迟状态时,在目标数据库上进行业务验证。如果验证成功,那么可以停掉迁移任务,将业务切换到目标数据库。 至此,完成将本地 Oracle 数据库到 RDS for MySQL 实例的数据迁移任务配置。

2019-12-01 23:09:40 0 浏览量 回答数 0

新手开公司,教你化繁为简

开公司到底有没有那么难,传统的手续繁琐,线下跑断腿,场地搞不定等问题,通过阿里云”云上公司注册“解决你的烦恼。

回答

详细解答可以参考官方帮助文档使用 数据传输服务 DTS 可以将本地的 Oracle 数据库中的数据迁移至 RDS for MySQL 实例。数据传输 DTS (以下简称 DTS)可以实现结构迁移、全量数据迁移以及增量数据迁移。通过三种迁移方式的结合,可以在保持源 Oracle 数据库实例正常对外提供服务的情况下,实现 Oracle 数据库的不停服迁移。 注:当前 DTS 已经可以支持将本地的 Oracle 数据库中的数据迁移至 RDS for MySQL 实例时,数据的反向回流,帮助用户在应用按模块切换过程中,将 RDS for MySQL 实例中产生的数据变化同步回本地的 Oracle 数据库。如有需求,请提交工单咨询开通。 本小节简单介绍使用 DTS 进行 Oracle->RDS for MySQL 数据迁移的任务配置流程。 迁移步骤对于 Oracle->RDS for MySQL 的迁移,支持结构迁移、全量数据迁移以及增量数据迁移。各迁移类型的限制如下: 结构迁移DTS 会将迁移对象的结构定义迁移到目标实例。目前 DTS 支持结构迁移的对象包括:表。其他对象如视图、同义词、触发器、存储过程、存储函数、包、自定义类型等暂不支持。 全量数据迁移DTS 会将源数据库迁移对象的存量数据全部迁移到目标 RDS for MySQL 实例。如果仅做全量数据迁移,不做增量数据迁移,迁移过程中,如果源 Oracle 数据库有数据更新的话,那么这部分数据增量变化不一定能够被迁移到目标 RDS for MySQL 中。所以,如果仅做全量数据迁移,不做增量数据迁移,为保证迁移数据一致性,在数据迁移过程中,源端的 Oracle 实例需停止写入。 增量数据迁移增量迁移过程中,DTS 会轮询并捕获源 Oracle 实例由于数据变化产生的重做日志 redo log,然后将数据变化的增量实时同步到目标 RDS for MySQL 实例,通过增量数据迁移可以实现目标 RDS for MySQL 实例同源 Oracle 数据库实例的实时数据同步。 迁移权限要求 当使用 DTS 进行 Oracle->RDS for MySQL 迁移时,在不同迁移类型情况下,对源和目标数据库的迁移帐号权限要求如下: 迁移类型 结构迁移 全量迁移 增量数据迁移 本地 Oracle 实例 schema 的 owner schema 的 owner SYSDBA 目的 RDS for MySQL 实例 待迁入 db 的读写权限 待迁入 db 的读写权限 待迁入 db 的读写权限 迁移前置条件 待迁移 Oracle 数据库的版本为 10g,11g,12c。Oracle 数据库实例开启 supplemental log,且要求 supplemental_log_data_pk,supplemental_log_data_ui 开启。Oracle 数据库实例要求开启 archive log 归档模式,保证归档日志能够被访问并有一定的保存周期。 数据类型映射关系由于 Oracle 和 MySQL 的数据类型并不是一一对应的,所以 DTS 在进行结构迁移时,会根据两种数据库类型的数据类型定义,进行类型映射,下面是数据类型映射关系。 Oracle 数据类型 MySQL 数据类型 DTS 是否支持 varchar2(n [char/byte]) varchar(n) 支持 nvarchar2[(n)] national varchar[(n)] 支持 char[(n [byte/char])] char[(n)] 支持 nchar[(n)]] national char[(n)] 支持 number[(p[,s])] decimal[(p[,s])] 支持 float(p)] double 支持 long longtext 支持 date datetime 支持 binary_float decimal(65,8) 支持 binary_double double 支持 timestamp[(fractional_seconds_precision)] datetime[(fractional_seconds_precision)] 支持 timestamp[(fractional_seconds_precision)]with local time zone datetime[(fractional_seconds_precision)] 支持 timestamp[(fractional_seconds_precision)]with local time zone datetime[(fractional_seconds_precision)] 支持 clob longtext 支持 nclob longtext 支持 blob longblob 支持 raw varbinary(2000) 支持 long raw longblob 支持 bfile — 不支持 interval year(year_precision) to mongth — 不支持 interval day(day_precision) to second[(fractional_seconds_precision)] — 不支持 对于 char 类型,当 char(n) 的定义长度 n 超过 255 时,DTS 会自动将类型转换为 varchar(n)。由于 MySQL 本身不支持类似 Oracle 中的 bfile、interval year to month、interval day to second 这三种数据类型,所以 DTS 在进行结构迁移时,无法在 MySQL 中找到合适的数据类型进行映射,因此这三种类型不会进行转化。迁移时如果表中含有这三种类型,会导致结构迁移失败,用户可以在指定迁移对象的时候,对需要迁移的对象中这三种类型的列进行排除。由于 MySQL 的 timestamp 类型不包含时区,而 Oracle 的 timestamp with time zone 和 timestamp with local time zone 两种类型默认带有时区信息,所以 DTS 在迁移这两种类型的数据时,会将其转换成 UTC 时区后存入目标 RDS for MySQL 实例。 迁移步骤下面详细介绍下使用 DTS 将本地 Oracle 数据库中的数据迁移到 RDS for MySQL 实例的任务配置流程。 创建 RDS for MySQL 实例在数据迁移过程中,如果待迁移的数据库在目标 RDS for MySQL 实例中不存在,那么 DTS 会自动创建。但是对于如下两种情况,用户需要在配置迁移任务之前,手动创建数据库。 数据库名称不符合 RDS 定义规范(由小写字母、数字、下划线、中划线组成,字母开头,字母或数字结尾,最长 64 个字符)。待迁移数据库,在源 Oracle 与目标 RDS for MySQL 实例中名称不同。 对于这两种情况,用户需要在配置迁移任务之前,先在 RDS 控制台完成数据库创建。具体参考 RDS 数据库创建流程 RDS 使用手册。 创建迁移帐号迁移任务配置,需要提供 Oracle 数据库及目标 RDS 实例的迁移账号。迁移账号所需权限详见上文的 迁移权限要求。 如果您的源 Oracle 实例的迁移账号尚未创建,那么您可以参考 Oracle Grant 语法说明,创建满足要求的迁移账号。 RDS for MySQL 迁移账号的创建及授权操作详见 RDS 使用手册。 迁移任务配置当上面的所有前置条件都配置完成后,就可以开始迁移任务配置。下面详细介绍下具体的迁移步骤。 进入数据传输服务 DTS 控制台,单击右上角的创建迁移任务,正式开始任务配置。本地 Oracle 数据库实例及目标 RDS for MySQL 实例的连接信息配置。 这个步骤主要配置迁移任务名称,Oracle 数据库实例连接信息及目标 RDS for MySQL 实例连接信息。其中: 任务名称 DTS 为每个任务自动生成一个任务名称,任务名称没有唯一性要求。您可以根据需要修改任务名称,建议为任务配置具有业务意义的名称,便于后续的任务识别。 源实例信息 实例类型:选择 有公网 IP 的自建数据库数据库类型: 选择 Oracle主机名或IP地址: 配置 Oracle 访问地址,这个地址必须为公网访问方式端口:Oracle 数据库实例的监听端口SID:Oracle 数据库实例的 SID账号:Oracle 数据库实例的连接账号密码:上面指定的 Oracle 数据库实例的连接账号对应的密码 目标实例信息 实例类型:选择 RDS 实例RDS 实例 ID: 配置迁移的目标 RDS for MySQL 实例的实例 ID。 DTS 支持经典网络和 VPC 网络的 RDS实例账号:RDS for MySQL 实例的连接账号密码:上面指定的 RDS for MySQL 实例连接账号对应的密码 当配置完连接信息后,单击右下角 授权白名单并进入下一步 进行白名单授权。这个步骤 DTS 会将 DTS 服务器的 IP 地址添加到目标 RDS for MySQL 实例的白名单中,避免因为 RDS 实例设置了白名单,导致 DTS 服务器连接不上 RDS for MySQL 实例导致迁移失败。 迁移对象及迁移类型配置。 迁移类型包括:结构迁移、全量数据迁移、增量数据迁移。默认选择 结构迁移+全量数据迁移。 迁移对象,需要选择您要迁移的对象。迁移对象选择的粒度可以为:库、表、列三个粒度。 默认情况下,对象迁移到 RDS for MySQL 实例后,对象名与源 Oracle 数据库中一致。如果您迁移的对象在源实例与目标实例上名称不同,那么需要使用 DTS 提供的对象名映射功能,详细使用方式可以参考 库表列映射。 当配置完迁移对象及迁移类型后,即进入任务启动前的预检查步骤。 任务预检查。 在迁移任务正式启动之前,会先进行前置预检查,只有预检查通过后,才能成功启动迁移。 如果预检查失败,那么可以点击具体检查项后的按钮,查看具体的失败详情,并根据失败原因修复后,重新进行预检查。 启动迁移任务。 当预检查通过后,我们可以启动迁移任务,任务启动后,可以到任务列表中查看任务具体的迁移状态及进度。 当任务进入增量数据迁移阶段,任务不会自动停止,且一旦源 Oracle 数据库实例有增量写入,增量数据就会自动同步到目标 RDS for MySQL 实例。增量数据迁移是个动态同步的过程,建议在增量迁移达到无延迟状态时,在目标数据库上进行业务验证。如果验证成功,那么可以停掉迁移任务,将业务切换到目标数据库。 至此,完成将本地 Oracle 数据库到 RDS for MySQL 实例的数据迁移任务配置。

2019-12-01 23:09:40 0 浏览量 回答数 0

问题

请问用java 如何连接 mysql fabric ?报错

爱吃鱼的程序员 2020-06-14 21:52:27 0 浏览量 回答数 1

回答

云服务器 ECS-用户指南-安全组-添加安全组规则-操作步骤 登录 云服务器ECS管理控制台。在左侧导航栏中,选择 网络和安全 > 安全组。选择地域。找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。如果您的实例不能访问公网,只能设置内网的访问规则。如果是经典网络的安全组,选择 公网 或 内网。规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。   单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。

微wx笑 2019-12-01 23:46:10 0 浏览量 回答数 0

回答

您好,这可能是由于您没有在安全组开放相应端口导致的,您可以添加安全组规则。 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 所有的安全组,在未添加任何安全组规则之前,无论哪种网卡类型,出方向允许所有访问,入方向拒绝所有访问。所以,在添加安全组规则时,建议出方向只设置拒绝访问的规则,入方向只设置允许访问的规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录   云服务器ECS管理控制台。 在左侧导航栏中,选择   网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在   操作  列中,单击   配置规则。 在   安全组规则  页面上,单击   添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击   快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择   公网  或   内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择   允许  或   拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型  和   端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型  和   授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在   账号管理 > 安全设置  里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见   ECS安全组规则优先级说明。   单击   确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接Linux实例。 运行以下命令查看TCP 80是否被监听。 netstat -an | grep 80 如果返回以下结果,说明TCP 80端口已开通。 tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入   http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行   命令提示符,输入以下命令查看TCP 80是否被监听。 netstat -aon | findstr :80 如果返回以下结果,说明TCP 80端口已开通。 TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入   http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果   优先级  相同,则   拒绝  授权规则生效, 接受  授权规则不生效。 如果   优先级  不同,则优先级高的规则生效,与   授权策略  的设置无关。 如果您对我的回答满意,请您采纳一下,谢谢!

zihangu 2019-12-02 00:32:19 0 浏览量 回答数 0

回答

第五讲:云时代安全防护面临的挑战和机遇 2020年7月12日打卡,今日学习《第五讲:云时代安全防护面临的挑战和机遇》,通过乔帮主的领读,学习到了云端安全面临的挑战和机遇,云端黑客常见攻击和云端安全最佳防御方案。 作业1 Redis漏洞不能用WAF防御,要用安骑士来检测,WAF针对OSI七层模型中HTTP层的防御,也就是Web漏洞的防御;安骑士是解决操作系统级别的漏洞、木马、病毒。 作业2 在CDN上配置证书,一般把证书存放在流量入口处。 作业3 DDoS+WAF结合起来防御。 作业4 采用安全类云产品,替代单机低配服务器;安全架构进行优化,采用分布式架构;在运维层次进行安全保障,调优PHP进行数、Tomcat连接数等,调优操作系统内核参数; 第四讲:云端运维/监控/容器及DevOps实践 2020年7月5日打卡,今日学习《第四讲:云端运维/监控/容器及DevOps实践》,通过乔帮主本次的领读,学到了云端实践篇中的云端运维实践、云端监控实践和云端容器/DevOps实践。 作业1 一:云端配置选型 二:云端网络架构 三:云端负载均衡的选择 四:云端静态资源访问 五:云端运维管理 作业2 Zabbix的Server端数据是以MySQL为主的关系型数据库,存在性能问题,对云容器支持不太好; Prometheus属于容器监控体系技术,对云产品、站点、日志、代码监控问题无法解决; 作业3 云监控会成为未来监控的主要趋势,云平台把常见的开源环境,Web、缓存、数据库等进行封装产品化。 作业4 基于Docker镜像的CI/CD与传统基于代码仓库的CI/CD有以下优势: 实现容器启动在秒级完成发布;对ECS没有依赖;Docker容器资源自定义配置,最大化提升资源利用率;可以结合JIRA+Confluence做项目管理及知识库管理; 作业5 使用Docker+K8S+DNS+Rancher 第三讲:云端五大类热门技术实践 2020年6月25日打卡,今日学习《第三讲:云端五大类热门技术实践》,通过乔帮主本次的领读,学到了云端实践中的主机、负载均衡、存储、缓存和数据库实践。 作业1 分布式架构对服务器单机的性能依赖不高,通过大量云资源进行分布式快速部署,满足业务的需求和发展。 作业2 DNS+跨地域+Docker分布式架构,通过智能解析把不同地域的请求引流到各自地域部署的节点中,节点中部署的业务用Docker进行部署,业务代码对平台没有依赖,又可以接入各大云运营商。 作业3 前端建议使用四层; 部署Web类后端的注意事项:需要配置https证书,虚拟主机,Rewrite等功能,可放在后端中用Nginx配置; 作业4 系统数据:Rsync,快照 文件数据:NFS,OSS 数据库数据:主从复制 作业5 读写分离属于垂直分区,主要是为了解决数据库读写的压力; Sharing技术属于水平分区,为了解决海量数据的压力; 第二讲:云端系统热门技术选型及配置容量规划实战 2020年6月20日打卡,今日学习《第二讲:云端系统热门技术选型及配置容量规划实战》,通过乔帮主本次的领读,学到了云端系统技术选型:云端网络、云端web服务器、云端负载均衡、云端存储、云端缓存和云端数据库六个方面,以及云端配置选型。 作业1 不收取流量费用,因为是入口流量; 作业2 Nginx可以作为Web服务器、或者负载均衡,优势如下: 稳定性好,云端架构中LNMP(Linux+Nginx+MySQL+PHP)应用很广泛;性能高,高并发,系统资源占用少;支持四层、七层的负载均衡、反向代理的功能;前端静态数据缓存;支持插件和灵活的二次开发; 作业3 不可以,因为LVS(Linux Virtual Server)在四层和二层,不能识别封装在七层中的数据包内容。 作业4 一次连接:LVS的DR模式、NAT模式对数据包的处理都做一次连接,负载均衡对数据包仅做转发; 二次连接:Ngnix/HAProxy四层的二次连接是客户端和负载均衡进行TCP三次握手后,负载均衡和后端服务器会进行新的TCP连接; Nginx/HAProxy七层的二次连接是客户端和负载均衡进行TCP三次握手后,还需要等客户端Pushdata传输数据后,负载均衡和后端服务器会进行新的TCP连接; 作业5 I/O 5分钟法则:如果一天记录频繁被访问,就应该考虑放到缓存里。否则的话,客户端就按需要直接去访问数据源,这个临界点就是5分钟。 作业6 数据库的三大分类:关系型数据库(ACID模型)、BASE模型、非关系型数据库。 热门关系型数据库:Oracle、MySQL、SQL Server; 热门非关系型数据库:Redis; 作业7 2台 8核16G,10Mbps 第一讲:云计算带来的技术变革 6月17日打卡,今日学习《第一讲:云计算带来的技术变革》,通过乔帮主本次的领读,学到了云平台、云产品的选型以及软件技术的选项; 名词解释: IDC(Internet Data Center):互联网数据中心 作业1 B,web应用做云端负载均衡,优先采用SLB,且SLB七层支持HTTP/HTTPS。 作业2 云平台与传统虚拟化技术最大的优势在于按需索取、随开随用。(借用老师在书中的介绍) 作业3 IaaS:基础设施服务,Infrastructure-as-a-servicePaaS:平台服务,Platform-as-a-serviceSaaS:软件服务,Software-as-a-service IaaS 是云服务的最底层,主要提供一些基础资源。 PaaS 提供软件部署平台(runtime),抽象掉了硬件和操作系统细节,可以无缝地扩展(scaling)。开发者只需要关注自己的业务逻辑,不需要关注底层。 SaaS 是软件的开发、管理、部署都交给第三方,不需要关心技术问题,可以拿来即用。 作业4 支持我从事的Java语言,自动化运维DevOps方向

yvonne6688 2020-06-17 22:20:40 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:03 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:08 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:03 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:03 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:03 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 云栖号物联网 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站 云栖号弹性计算 阿里云云栖号 云栖号案例 云栖号直播