修改普通安全組的組內(nèi)連通策略
如果您需要實(shí)現(xiàn)同一普通安全組中的兩臺(tái)ECS實(shí)例內(nèi)網(wǎng)互通,或限制ECS實(shí)例之間的網(wǎng)絡(luò)通信以確保網(wǎng)絡(luò)安全性,您可以通過(guò)ECS控制臺(tái)修改普通安全組的組內(nèi)連通策略。
背景信息
普通安全組的組內(nèi)連通策略是組內(nèi)互通時(shí),會(huì)忽略其他自定義訪問(wèn)規(guī)則,組內(nèi)所有實(shí)例的內(nèi)網(wǎng)保持默認(rèn)連通。
普通安全組的組內(nèi)連通策略是組內(nèi)隔離時(shí),在不添加其他訪問(wèn)規(guī)則的情況下,組內(nèi)所有實(shí)例的內(nèi)網(wǎng)默認(rèn)不連通。
企業(yè)級(jí)安全組不支持修改組內(nèi)連通策略,默認(rèn)組內(nèi)隔離。
安全組內(nèi)網(wǎng)絡(luò)隔離是網(wǎng)卡之間的隔離,而不是ECS實(shí)例之間的隔離。若實(shí)例上綁定了多張彈性網(wǎng)卡,需設(shè)置每個(gè)網(wǎng)卡所屬安全組的組內(nèi)網(wǎng)絡(luò)隔離。更多信息,請(qǐng)參見(jiàn)安全組與彈性網(wǎng)卡關(guān)聯(lián)的管理。
以下情況,安全組內(nèi)實(shí)例之間仍然可以互相訪問(wèn):
實(shí)例同時(shí)歸屬于多個(gè)安全組時(shí),有一個(gè)及以上的安全組未設(shè)置組內(nèi)隔離。
既設(shè)置了安全組內(nèi)隔離,又設(shè)置了讓組內(nèi)實(shí)例之間可以互相訪問(wèn)的安全組規(guī)則。
更多信息,請(qǐng)參見(jiàn)普通安全組與企業(yè)級(jí)安全組。
操作步驟
在左側(cè)導(dǎo)航欄,選擇。
在頁(yè)面左側(cè)頂部,選擇目標(biāo)資源所在的資源組和地域。
在安全組頁(yè)面中,找到需要修改的安全組,單擊安全組ID。
在基本信息區(qū)域,根據(jù)需要設(shè)置組內(nèi)連通策略為組內(nèi)互通或組內(nèi)隔離。
在彈出的對(duì)話框中,單擊確定。
示例說(shuō)明
本示例中,Group1、Group2分別為2個(gè)不同的普通安全組,ECS1、ECS2、ECS3分別為3個(gè)不同的ECS實(shí)例。實(shí)例和實(shí)例所屬的安全組的關(guān)系如下:
Group1:包含ECS1和ECS2,設(shè)置組內(nèi)網(wǎng)絡(luò)隔離。
Group2:包含ECS2和ECS3,保持默認(rèn),即組內(nèi)網(wǎng)絡(luò)互通。
則各實(shí)例間的網(wǎng)絡(luò)連通情況如下:
實(shí)例 | 網(wǎng)絡(luò)連通情況 | 說(shuō)明 |
ECS1和ECS2 | 隔離 | ECS1和ECS2同時(shí)屬于Group1。Group1的策略是組內(nèi)隔離,所以ECS1和ECS2之間網(wǎng)絡(luò)隔離。 |
ECS2和ECS3 | 互通 | ECS2和ECS3同時(shí)屬于Group2。Group2的策略是默認(rèn)互通,所以ECS2和ECS3之間網(wǎng)絡(luò)互通。 |
ECS1和ECS3 | 隔離 | ECS1和ECS3分屬不同的安全組,不同安全組的實(shí)例之間默認(rèn)網(wǎng)絡(luò)不通,所以ECS1和ECS3之間網(wǎng)絡(luò)隔離。 |
相關(guān)文檔
您也可以調(diào)用API接口修改普通安全組的連通策略。具體操作,請(qǐng)參見(jiàn)ModifySecurityGroupPolicy。
您可以在配置審計(jì)(Config)中創(chuàng)建審計(jì)規(guī)則,對(duì)安全組規(guī)則的合規(guī)性進(jìn)行審計(jì),并將審計(jì)結(jié)果投遞到日志服務(wù)SLS中。更多信息,請(qǐng)參見(jiàn)對(duì)安全組規(guī)則的合規(guī)性進(jìn)行審計(jì)和預(yù)警。