單個(gè)安全組能容納的私網(wǎng)IP地址數(shù)量

在您將ECS實(shí)例、彈性網(wǎng)卡、ECI實(shí)例等資源關(guān)聯(lián)到安全組時(shí)，這些資源將會(huì)占用安全組的私網(wǎng)IP地址容量。需要注意的是，單個(gè)資源的私網(wǎng)IP數(shù)量會(huì)有一個(gè)或多個(gè)。

具體的容量對(duì)比如下表所示：

在VPC網(wǎng)絡(luò)下，相比于普通安全組，企業(yè)級(jí)安全組可以容納更多的私網(wǎng)IP地址數(shù)量。如果您集群中的私網(wǎng)IP數(shù)量較多，普通安全組無(wú)法容納，阿里云建議您使用企業(yè)級(jí)安全組。

支持安全組作為授權(quán)對(duì)象

安全組作為授權(quán)對(duì)象，是指添加一條安全組規(guī)則，規(guī)則的授權(quán)對(duì)象為一個(gè)安全組ID。

支持組內(nèi)互通功能

普通安全組的組內(nèi)互通功能，可以理解為一種授權(quán)本安全組內(nèi)ECS實(shí)例內(nèi)網(wǎng)訪問(wèn)的特殊規(guī)則。您可以通過(guò)修改組內(nèi)連通策略，來(lái)開啟或關(guān)閉普通安全組的組內(nèi)互通功能。在企業(yè)級(jí)安全組中，安全組內(nèi)的ECS實(shí)例默認(rèn)組內(nèi)隔離，您不能將企業(yè)級(jí)安全組的內(nèi)網(wǎng)連通策略設(shè)置為組內(nèi)互通。

默認(rèn)訪問(wèn)控制規(guī)則

普通安全組和企業(yè)級(jí)安全組的默認(rèn)訪問(wèn)控制規(guī)則有所不同，普通安全組的組內(nèi)連通策略，會(huì)影響其默認(rèn)訪問(wèn)控制規(guī)則。安全組的默認(rèn)訪問(wèn)控制規(guī)則是不可見的，與您自定義的安全組規(guī)則，共同作用如下：

普通安全組

由上述對(duì)比列表可知，對(duì)于普通安全組，組內(nèi)連通策略會(huì)影響入方向流量的默認(rèn)訪問(wèn)控制規(guī)則。在組內(nèi)連通策略被設(shè)置為組內(nèi)互通時(shí)，阿里云會(huì)默認(rèn)放行同安全組內(nèi)其他ECS實(shí)例通過(guò)內(nèi)網(wǎng)訪問(wèn)的流量。阿里云建議您遵循最小權(quán)限原則，在不需要普通安全組內(nèi)ECS實(shí)例間內(nèi)網(wǎng)互通時(shí)，將普通安全組的組內(nèi)連通策略設(shè)置為組內(nèi)隔離。

企業(yè)級(jí)安全組

• 入方向：

  如下表所示，在企業(yè)級(jí)安全組中，如果入方向流量與安全組入方向規(guī)則匹配，將按照規(guī)則指定的授權(quán)策略，允許或拒絕放行（序號(hào)1）。其他任何入方向流量，將會(huì)被拒絕訪問(wèn)（序號(hào)2）。

  序號(hào)（優(yōu)先級(jí)順序）	規(guī)則類型	流量類型	處理動(dòng)作
  1	自定義規(guī)則	排序后多個(gè)安全組自定義規(guī)則匹配的流量	允許或拒絕（根據(jù)授權(quán)策略）
  2	默認(rèn)訪問(wèn)控制規(guī)則（不可見）	其他任何流量	拒絕

• 出方向：

  如下表所示，在企業(yè)級(jí)安全組中，如果出方向流量與安全組出方向規(guī)則匹配，將按照規(guī)則指定的授權(quán)策略，允許或拒絕放行（序號(hào)1）。其他任何出方向流量，將會(huì)被拒絕訪問(wèn)（序號(hào)2）。

  序號(hào)（優(yōu)先級(jí)順序）	規(guī)則類型	流量類型	處理動(dòng)作
  1	自定義規(guī)則	排序后多個(gè)安全組自定義規(guī)則匹配的流量	允許或拒絕（根據(jù)授權(quán)策略）
  2	默認(rèn)訪問(wèn)控制規(guī)則（不可見）	其他任何流量	拒絕

其他對(duì)比