安全組是一種虛擬防火墻,具備狀態檢測和數據包過濾能力,用于在云端劃分安全域。通過添加安全組規則,您可以控制安全組內ECI實例的入流量和出流量。
安全組介紹
安全組是一個邏輯上的分組,由同一VPC內具有相同安全保護需求并相互信任的實例組成。通過添加安全組規則,安全組可以允許或拒絕安全組內ECI實例對公網或者私網的訪問,以及管理是否放行來自公網或私網的訪問請求。更多信息,請參見安全組概述。
一個安全組可以管理同一個VPC內的多個ECI實例。
一個ECI實例必須屬于一個安全組。
安全組分為普通安全組和企業安全組。如果您對整體規模和運維效率有較高需求,建議您使用企業安全組。相比普通安全組,企業安全組大幅提升了組內支持容納的實例數量,簡化了規則配置方式。更多關于兩種安全組的差異信息,請參見普通安全組與企業級安全組。
指定安全組
創建ECI實例時,必須要指定安全組,即必須要將ECI實例加入到安全組中。關于如何創建安全組,請參見創建安全組。
創建成功的ECI實例不支持修改安全組。如果想要變更安全組,需要重新創建ECI實例。
OpenAPI
調用CreateContainerGroup接口創建ECI實例時,您可以通過SecurityGroupId參數來指定安全組。SecurityGroupId的參數說明如下表所示。更多信息,請參見CreateContainerGroup。
名稱 | 類型 | 示例值 | 描述 |
SecurityGroupId | String | sg-uf66jeqopgqa9hdn**** | 指定安全組ID。 |
控制臺
通過彈性容器實例售賣頁創建ECI實例時,必須要選擇一個安全組。
添加安全組規則
對于安全組內的ECI實例,您可以添加安全組規則來控制其出入流量。例如:
當ECI實例需要與所在安全組之外的網絡進行通信時,您可以添加允許訪問的安全組規則,實現網絡互通。
在運行ECI實例的過程中,發現部分請求來源有惡意攻擊行為時,您可以添加拒絕訪問的安全組規則,實現網絡隔離。
關于如何添加安全組規則,請參見添加安全組規則。