管理安全組
安全組是一種虛擬防火墻,使用安全組可以幫您控制ECS實例的出入站流量,實現網絡的隔離與互通等能力。本文介紹安全組的創建、查詢、修改、刪除等操作。
操作前須知
安全組能力概述和使用建議。具體信息,請參見安全組。
安全組分為普通安全組和企業級安全組,在安全組容量、是否支持組內互通、是否支持添加授權對象為安全組以及默認的訪問控制規則等方面有一定差異。具體信息,請參見普通安全組與企業級安全組。
關于安全組的使用限制,請參見安全組使用限制。
創建安全組
在您創建ECS實例時,如果您還未創建過安全組,阿里云會為您創建一個默認安全組。如果您希望ECS實例加入自定義安全組,您可以手動創建安全組。
普通安全組的默認組內聯通策略為組內互通,您可修改組內聯通策略。具體信息,請參見修改普通安全組的組內連通策略。
使用ECS控制臺
進入安全組頁面。
登錄ECS管理控制臺。
在左側導航欄,選擇。
在頁面左側頂部,選擇目標資源所在的資源組和地域。
單擊創建安全組。
在基本信息區域,設置安全組的基本信息。
設置安全組名稱、描述、資源組、標簽等信息,方便您更好地識別您創建的安全組。
設置網絡,選擇經典網絡或指定專有網絡VPC。更多信息,請參見網絡類型。
設置安全組類型,選擇普通安全組或企業級安全組。更多信息,請參見普通安全組與企業級安全組。
在訪問規則區域,設置安全組規則。
默認情況下,ECS控制臺已經為您配置了基本的安全組規則。如果您需要自定義規則,可以參考以下操作。更多信息,請參見添加安全組規則。
單擊入方向或者出方向頁簽,選擇安全組規則方向。
單擊手動添加。
設置自定義的安全組規則。關于安全組規則的介紹,請參見安全組規則。
單擊創建安全組。
創建成功后,您可以在安全組列表頁中查看安全組。更多信息,請參見查詢安全組。
使用API
使用CreateSecurityGroup - 創建安全組,創建安全組。
克隆安全組
您可以通過克隆安全組快速創建一個或多個安全組,且支持跨地域、跨網絡類型克隆安全組。適用于在安全組規則較多時,進行跨地域復制安全組規則、安全組規則備份等場景。
如果您需要將安全組的網絡類型更換為專有網絡,您需要在目標地域創建至少一個可用的專有網絡。具體操作,請參見創建和管理專有網絡。
如下場景,您可能需要克隆安全組:
假設您已經在地域A里創建了一個安全組SG1,此時您需要對地域B里的實例使用與SG1完全相同的規則,您可以直接將SG1克隆到地域B,而不需要在地域B從零開始創建安全組。
假設您已經創建了一個適用于經典網絡的安全組SG2,此時您需要對一些處于VPC網絡里的實例使用與SG2完全相同的規則,您可以在克隆SG2時將網絡類型改為VPC,生成一個適用于VPC網絡的安全組。
如果您需要對一個線上業務執行新的安全組規則,您可以克隆原來的安全組作為備份。
克隆安全組默認只克隆此安全組以及安全組規則,不克隆與此安全組相關聯的實例或者彈性網卡。
使用ECS控制臺
在頁面,找到需要克隆的安全組,單擊操作列中的克隆安全組。
在克隆安全組對話框里,設置新安全組的信息:
目標地域:選擇新安全組適用的地域。
安全組名稱:設置新安全組的名稱。
專有網絡ID:選擇新安全組的網絡類型,選擇經典網絡或者具體的專有網絡。如果沒有可用的專有網絡,您可以單擊創建專有網絡去專有網絡控制臺創建網絡。
保留規則:選擇是否保留原安全組的所有規則。如果選中,克隆安全組時會將原安全組中的所有規則克隆到新安全組中,且克隆后優先級大于100的規則將調整優先級為100。否則,將丟棄這部分規則。
描述:設置新安全組的描述信息。
復制本安全組標簽到克隆安全組:選擇是否需要將原安全組的標簽復制到新安全組。
單擊確定。
說明克隆成功后,克隆安全組對話框會自動關閉。您可以在目標地域的安全組列表中看到克隆的新安全組。
克隆安全組成功后,您可能需要進行以下操作:
將云資源(ECS實例,彈性網卡)加入新的安全組中。具體操作,請參見安全組關聯資源管理。
根據實際需求,修改新安全組的規則或連通策略,以確保安全組適應新的網絡環境和安全策略。具體操作,請參見修改安全組規則和修改普通安全組的組內連通策略。
修改安全組
創建安全組后,您可以根據需要隨時修改安全組的名稱、描述信息和標簽信息,以便更方便地識別特定的安全組。
使用ECS控制臺
在頁面,找到需要修改的安全組,修改如下信息。
修改名稱和描述
分別在安全組ID/名稱列和描述列將鼠標懸浮至名稱和描述處,然后單擊
圖標。在彈出的對話框中,修改對應信息,然后單擊確定。
說明安全組名稱:長度為2~128個字符,不能以特殊字符及數字開頭,只可包含特殊字符中的點號(.)、下劃線(_)、連字符(-)和半角冒號(:)。
描述:長度為2~256個字符,不能以http://或https://開頭。
編輯標簽信息
標簽用于標識具有相同特征的資源,例如所屬組織相同或用途相同的安全組,您可以基于標簽方便地檢索和管理資源。更多信息,請參見標簽。
根據實際情況,按照如下方式修改標簽。
如果安全組尚未綁定標簽,在標簽列將鼠標懸浮至
圖標,然后單擊綁定。如果安全組已經綁定了標簽,在標簽列將鼠標懸浮至
圖標,然后單擊編輯。
在編輯標簽對話框,選擇已有標簽或輸入新的標簽,然后單擊確認。
說明綁定標簽后,您可以基于標簽篩選安全組并完成各種管理動作,例如將ECS實例加入某類安全組、為某類安全組添加安全組規則等。
使用API
使用ModifySecurityGroupAttribute - 修改安全組的名稱或者描述,修改安全組的名稱和描述信息。
查詢安全組
創建安全組后,您可以通過安全組名稱、安全組ID或者專有網絡ID查詢相關安全組。
使用ECS控制臺
在頁面,輸入待查詢的安全組名稱、安全組ID或專有網絡ID并單擊
圖標,通過智能匹配查詢相關安全組。
您也可以選擇安全組名稱或安全組ID進行精確查詢,或選擇專有網絡ID查詢該專有網絡下的所有安全組。
使用API
使用DescribeSecurityGroups - 查詢安全組基本信息列表,查詢安全組信息。
刪除安全組
如果您的業務已經不再需要某個安全組,您可以刪除這個安全組。安全組刪除后,組內所有安全組規則將被刪除。
安全組存在以下情況時,會刪除失敗:
在安全組內有ECS實例或彈性網卡時,不能刪除。您需要先將實例或者彈性網卡移出安全組,再刪除安全組。具體操作,請參見管理安全組與ECS實例和管理安全組與彈性網卡。
在安全組被其他安全組的規則作為授權對象時,不能刪除。您需要先刪除相應的授權規則,再刪除安全組。具體操作,請參見刪除安全組規則。
安全組已開啟刪除保護功能。
在您使用DeleteSecurityGroup接口刪除安全組時返回錯誤碼
InvalidOperation.DeletionProtection,或使用控制臺刪除安全組看到類似刪除保護的提示時,說明該安全組開啟了刪除保護功能。在您創建ACK集群時,關聯的安全組會開啟刪除保護功能,來防止誤刪除。刪除保護功能無法手動關閉,只有在刪除了關聯的ACK集群后,才能夠自動關閉。更多信息,請參見關閉安全組刪除保護。
使用ECS控制臺
在頁面,通過如下兩種方式刪除安全組。
刪除單個安全組:找到待刪除的安全組,然后單擊操作列中的刪除。
批量刪除安全組:選中一個或多個安全組,在頁面底部單擊批量刪除。
在刪除安全組對話框中,確認信息后,單擊確定。
使用API
使用DeleteSecurityGroup - 刪除安全組,刪除安全組。
安全組常見問題與最佳實踐
關于安全組配置、安全組規則設定、無法訪問ECS實例、主機處罰與解禁流程、資源限額管理等常見問題,請參見安全FAQ。
關于協議類型和端口范圍的問題,請參見常用端口、修改服務器默認遠程端口。
將云資源(ECS實例,彈性網卡)加入新的安全組,請參見安全組與ECS實例關聯的管理、安全組與彈性網卡關聯的管理。
根據業務需要,如果需要修改安全組的組內連通策略,請參見修改普通安全組的組內連通策略。
您可通過OOS管理控制臺批量修改云資源綁定標簽的標簽值,請參見使用OOS批量修改標簽值。
安全組規則配置最佳實踐與應用案例:
如果服務器開啟了防火墻,并設置了屏蔽外界訪問的規則,那么在遠程訪問該服務器時,可能會導致訪問失敗。開啟和關閉系統防火墻的最佳實踐:
其他最佳實踐: