安全組是一個(gè)邏輯上的分組����,這個(gè)分組是由同一個(gè)地域(Region)內(nèi)具有相同安全保護(hù)需求并相互信任的實(shí)例組成。每個(gè)實(shí)例至少屬于一個(gè)安全組���,在創(chuàng)建的時(shí)候就需要指定。同一安全組內(nèi)的實(shí)例之間網(wǎng)絡(luò)互通����,不同安全組的實(shí)例之間默認(rèn)內(nèi)網(wǎng)不通��??梢允跈?quán)兩個(gè)安全組之間互訪�����。
安全組是一種虛擬防火墻�,具備狀態(tài)檢測(cè)包過濾功能��。安全組用于設(shè)置單臺(tái)或多臺(tái)云服務(wù)器的網(wǎng)絡(luò)訪問控制����,它是重要的網(wǎng)絡(luò)安全隔離手段���,用于在云端劃分安全域�����。
安全組限制
單個(gè)安全組內(nèi)的實(shí)例個(gè)數(shù)不能超過 1000���。如果您有超過 1000 個(gè)實(shí)例需要內(nèi)網(wǎng)互訪,可以將他們分配到多個(gè)安全組內(nèi),并通過互相授權(quán)的方式允許互訪��。
每個(gè)實(shí)例最多可以加入 5 個(gè)安全組���。
每個(gè)用戶的安全組最多 100 個(gè)���。
對(duì)安全組的調(diào)整操作,對(duì)用戶的服務(wù)連續(xù)性沒有影響��。
安全組是有狀態(tài)的。如果數(shù)據(jù)包在 Outbound 方向是被允許的���,那么對(duì)應(yīng)的此連接在 Inbound 方向也是允許的�����。
安全組的網(wǎng)絡(luò)類型分為經(jīng)典網(wǎng)絡(luò)和專有網(wǎng)絡(luò)����。
經(jīng)典網(wǎng)絡(luò)類型的實(shí)例可以加入同一地域(Region)下經(jīng)典網(wǎng)絡(luò)類型的安全組�����。
專有網(wǎng)絡(luò)類型的實(shí)例可以加入同一專有網(wǎng)絡(luò)(VPC)下的安全組�。
安全組規(guī)則
安全組規(guī)則可以允許或者禁止與安全組相關(guān)聯(lián)的云服務(wù)器 ECS 實(shí)例的公網(wǎng)和內(nèi)網(wǎng)的入出方向的訪問。
您可以隨時(shí)授權(quán)和取消安全組規(guī)則。您的變更安全組規(guī)則會(huì)自動(dòng)應(yīng)用于與安全組相關(guān)聯(lián)的ECS實(shí)例上�。
在設(shè)置安全組規(guī)則的時(shí)候,請(qǐng)注意以下限制:
安全組中沒有任何一條規(guī)則能夠做到:允許 ECS 實(shí)例的出方向訪問�,但禁止 ECS 實(shí)例的入方向訪問。反之亦然���。
安全組的規(guī)則務(wù)必簡(jiǎn)潔�。如果您給一個(gè)實(shí)例分配多個(gè)安全組�,則該實(shí)例可能會(huì)應(yīng)用多達(dá)數(shù)百條規(guī)則。訪問該實(shí)例時(shí)�,可能會(huì)出現(xiàn)網(wǎng)絡(luò)不通的問題。
安全組規(guī)則限制
每個(gè)安全組最多有 100 條安全組規(guī)則��。
