安全組是一個邏輯上的分組����,這個分組是由同一個地域(Region)內(nèi)具有相同安全保護(hù)需求并相互信任的實例組成����。每個實例至少屬于一個安全組,在創(chuàng)建的時候就需要指定����。同一安全組內(nèi)的實例之間網(wǎng)絡(luò)互通,不同安全組的實例之間默認(rèn)內(nèi)網(wǎng)不通����。可以授權(quán)兩個安全組之間互訪�����。
安全組是一種虛擬防火墻�����,具備狀態(tài)檢測包過濾功能。安全組用于設(shè)置單臺或多臺云服務(wù)器的網(wǎng)絡(luò)訪問控制���,它是重要的網(wǎng)絡(luò)安全隔離手段�����,用于在云端劃分安全域����。
安全組限制
單個安全組內(nèi)的實例個數(shù)不能超過 1000�����。如果您有超過 1000 個實例需要內(nèi)網(wǎng)互訪�����,可以將他們分配到多個安全組內(nèi)�,并通過互相授權(quán)的方式允許互訪。
每個實例最多可以加入 5 個安全組��。
每個用戶的安全組最多 100 個���。
對安全組的調(diào)整操作��,對用戶的服務(wù)連續(xù)性沒有影響����。
安全組是有狀態(tài)的。如果數(shù)據(jù)包在 Outbound 方向是被允許的�����,那么對應(yīng)的此連接在 Inbound 方向也是允許的�����。
安全組的網(wǎng)絡(luò)類型分為經(jīng)典網(wǎng)絡(luò)和專有網(wǎng)絡(luò)��。
經(jīng)典網(wǎng)絡(luò)類型的實例可以加入同一地域(Region)下經(jīng)典網(wǎng)絡(luò)類型的安全組��。
專有網(wǎng)絡(luò)類型的實例可以加入同一專有網(wǎng)絡(luò)(VPC)下的安全組�����。
安全組規(guī)則
安全組規(guī)則可以允許或者禁止與安全組相關(guān)聯(lián)的云服務(wù)器 ECS 實例的公網(wǎng)和內(nèi)網(wǎng)的入出方向的訪問���。
您可以隨時授權(quán)和取消安全組規(guī)則。您的變更安全組規(guī)則會自動應(yīng)用于與安全組相關(guān)聯(lián)的ECS實例上��。
在設(shè)置安全組規(guī)則的時候,請注意以下限制:
安全組中沒有任何一條規(guī)則能夠做到:允許 ECS 實例的出方向訪問����,但禁止 ECS 實例的入方向訪問。反之亦然����。
安全組的規(guī)則務(wù)必簡潔。如果您給一個實例分配多個安全組�����,則該實例可能會應(yīng)用多達(dá)數(shù)百條規(guī)則�。訪問該實例時,可能會出現(xiàn)網(wǎng)絡(luò)不通的問題�����。
安全組規(guī)則限制
每個安全組最多有 100 條安全組規(guī)則���。
