活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
免费活动
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

新手入门:天翼云主机组配置全攻略

弹性负载均衡大数据开发套件(DAYU)大数据
2025-08-08 10:24:28
6
0

在数字化时代,云计算的普及让企业和个人能够便捷地获取大的计算资源。天翼云主机作为可靠的云计算服务之一,为用户提供了灵活、高效的虚拟服务器环境。然而,随着网络威胁日益复杂多样,保障云主机的变得至关重要。组作为天翼云主机网络的关键防线,对于新手用户来说,正确配置组规则是确保云主机运行的基础。本文将详细介绍天翼云主机组的概念、配置原则以及具体的操作步骤,帮助新手用户轻松掌握组的配置方法,为云主机构建坚实的壁垒。

一、认识天翼云主机组

1.1 组的定义与功能

组可以形象地理解为一种虚拟的防火墙,它围绕着天翼云主机实例,对进出云主机的网络流量进行严格的管控。从本质上讲,组是一组网络访问控制策略的集合,通过这些策略来决定哪些网络流量可以进入或离开云主机。每一个云主机实例都可以关联一个或多个组,而每个组又可以包含多条规则,这些规则相互配合,形成了对云主机网络访问的精细控制体系。

组的主要功能在于过滤网络流量,只有符合预设规则的数据包才能通过组的检查,进而到达云主机。例如,当我们希望云主机对外提供访问服务时,就需要在组中设置规则,允许来自互联网的 HTTP(端口 80)或 HTTPS(端口 443)请求进入云主机;而对于一些不希望公开访问的服务,如数据库服务,就需要限制外部网络的访问,仅允许特定的应用服务器 IP 进行连接。通过这种方式,组有效地保护了云主机受未经授权的网络访问,降低了风险。

1.2 组与传统防火墙的区别

与传统防火墙相比,天翼云主机组具有独特的优势,这些优势使得组在云计算环境中更加灵活、高效。

传统防火墙通常部署在网络边界,对整个网络区域的流量进行统一管理。它的配置相对复杂,需要专业的网络知识和技能来进行设置和维护。而且,传统防火墙一旦部署完成,修改规则往往需要经过繁琐的流程,灵活性较差。此外,传统防火墙在应对云计算环境中动态变化的网络需求时,显得力不从心。

而天翼云主机组则是基于云主机实例进行设置的,每个云主机都可以拥有的组配置。这意味着用户可以根据不同云主机的业务特点和需求,量身定制个性化的策略。例如,对于面向公众提供服务的 Web 服务器云主机,可以开放必要的 HTTP 和 HTTPS 端口,并限制访问来源;而对于存储敏感数据的数据库云主机,则可以设置更为严格的访问规则,只允许特定的应用服务器进行连接。组的规则修改也非常便捷,用户可以在天翼云控制台中随时进行调整,规则修改后会立即生效,无需等待复杂的部署过程。这种灵活性和动态性使得组能够更好地适应云计算环境中快速变化的业务需求和挑战。

1.3 组规则的构成要素

组规则由多个关键要素组成,这些要素共同决定了一条规则的具体作用和适用范围。了解这些要素是正确配置组规则的基础。

1.3.1 协议类型

协议类型是组规则中的重要组成部分,它指定了规则所适用的网络协议。常见的协议类型包括 TCP、UDP 和 ICMP 等。不同的网络应用和服务使用不同的协议进行通信,因此在设置组规则时,需要根据云主机上运行的具体服务来选择相应的协议类型。

TCP(传输控制协议)是一种面向连接的、可靠的传输协议,常用于对数据传输准确性和完整性要求较高的应用场景,如 HTTP、HTTPS、SSH、SMTP 等服务。例如,当我们希望允许外部用户通过浏览器访问云主机上的时,就需要在组规则中选择 TCP 协议,并开放相应的端口(80 端口用于 HTTP 协议,443 端口用于 HTTPS 协议)。

UDP(用户数据报协议)是一种无连接的、不可靠的传输协议,它的传输速度较快,但不保证数据的可靠传输。UDP 协议通常用于对实时性要求较高、允许一定数据丢失的应用场景,如 DNS(域名系统)查询、视频流传输、在线游戏等。例如,为了使云主机能够正常进行 DNS 解析,就需要在组规则中允许 UDP 协议的 53 端口进行通信。

ICMP(互联网控制消息协议)主要用于网络设备之间传递控制信息和错误消息,例如 Ping 命令就是基于 ICMP 协议实现的。在一些情况下,我们可能需要在组规则中允许 ICMP 协议的特定类型消息通过,以便进行网络连通性测试和故障排查。但需要注意的是,过度开放 ICMP 协议可能会带来一定的风险,因此在设置规则时要谨慎考虑。

1.3.2 端口范围

端口是网络通信中用于标识不同应用程序或服务的逻辑。在组规则中,端口范围指定了规则所适用的端口号或端口区间。每个网络服务都默认使用特定的端口号进行通信,通过设置端口范围,我们可以精确地控制哪些服务可以被访问或允许访问其他服务。

端口号的范围是 0 - 65535,其中 1 - 1023 为知名端口,这些端口通常被一些常见的网络服务所占用,例如 80 端口用于 HTTP 服务,443 端口用于 HTTPS 服务,22 端口用于 SSH 服务,21 端口用于 FTP 服务等。在设置组规则时,我们需要根据云主机上运行的服务来开放相应的端口。例如,如果云主机上搭建了一个 Web 服务器,就需要开放 80 端口(用于 HTTP 协议)和 443 端口(用于 HTTPS 协议),以便外部用户能够通过浏览器访问内容;如果云主机作为 FTP 服务器使用,则需要开放 20 和 21 端口。

在设置端口范围时,我们既可以指定单个端口,如 “80” 表示只开放 80 端口;也可以设置一个端口区间,如 “1000 - 2000” 表示开放从 1000 到 2000 号的端口。需要注意的是,开放过多不必要的端口会增加云主机的风险,因为更多的端口意味着更多的攻击面,所以在设置端口范围时要遵循最小权限原则,只开放云主机业务所必需的端口。

1.3.3 源与目的

源和目的在组规则中分别指定了允许访问云主机的网络来源以及访问的目标对象。源通常是指发起网络请求的 IP 或 IP 段,而目的一般就是云主机自身的 IP 或关联的网络资源。

当设置源时,我们可以根据实际需求进行精确控制。如果只希望特定的某个 IP 能够访问云主机,那么可以直接在源字段中输入该 IP ;如果允许某个网段内的所有 IP 访问云主机,则需要输入该网段的范围,格式为 “IP  / 子网掩码”。例如,“192.168.1.0/24” 表示允许 192.168.1.0  192.168.1.255 这个网段内的所有 IP 访问云主机。通过合理设置源,可以有效地限制只有授权的网络来源能够与云主机进行通信,防止未经授权的外部 IP 访问云主机,从而保障云主机的。

目的在大多数情况下就是云主机自身的 IP 或关联的网络资源。当云主机需要访问其他外部服务时,目的则指向外部服务的 IP 或域名。例如,当云主机上的应用程序需要连接到外部的数据库服务器时,组规则中的目的就应该设置为数据库服务器的 IP ,并开放相应的端口,以允许云主机与数据库服务器进行通信。

二、天翼云主机组配置前的准备工作

2.1 梳理云主机的业务需求

在着手配置天翼云主机组之前,全面、深入地梳理云主机的业务需求是至关重要的第一步。不同类型的云主机,其承的业务功能和网络访问需求存在显著差异,只有准确把握这些需求,才能为组规则的设置提供明确、合理的方向。

对于常见的 Web 服务器云主机,其主要业务是向互联网用户提供网页浏览服务。因此,为了确保用户能够正常访问,需要在组中开放 HTTP 协议的 80 端口和 HTTPS 协议的 443 端口,允许来自互联网的相关请求进入云主机。同时,如果 Web 服务器还需要支持其他功能,如文件上传、下等,可能还需要开放相应的端口,如 FTP 协议的 20 和 21 端口(但需注意 FTP 协议存在一定风险,可考虑使用更的 SFTP 协议替代)。

而对于数据库服务器云主机,其存储着大量的关键业务数据,性要求极高。一般情况下,数据库服务器只需要与特定的应用服务器进行通信,以提供数据存储和查询服务。因此,在组规则设置中,应严格限制访问来源,仅允许应用服务器的 IP 或 IP 段通过指定端口(如 MySQL 数据库的 3306 端口、Oracle 数据库的 1521 端口等)访问数据库服务器,避外部网络直接访问数据库,从而有效降低数据泄露的风险。

再比如,邮件服务器云主机需要支持 SMTP(简单邮件传输协议,端口 25)用于发送邮件、POP3(邮局协议版本 3,端口 110)或 IMAP(互联网邮件访问协议,端口 143)用于接收邮件,同时可能还需要开放 SSL/TLS 加密协议对应的端口(如 465 端口用于 SMTP over SSL,995 端口用于 POP3 over SSL,993 端口用于 IMAP over SSL),以保障邮件通信的。

通过详细梳理云主机的业务功能以及与之对应的网络访问需求,我们能够清晰地确定需要开放哪些端口、允许哪些源进行访问,从而为后续组规则的准确设置奠定坚实的基础。

2.2 了解云主机所在的网络环境

除了明确云主机的业务需求外,深入了解云主机所在的网络环境也是配置组前不可或缺的重要准备工作。网络环境包括多个方面的信息,如网络拓扑结构、与其他网络设备的连接关系以及网络流量的流向等,这些信息对于合理设置组规则具有重要的指导意义。

首先,要明确云主机所在的网络拓扑结构。云主机可能位于一个复杂的网络架构中,例如,它可能处于企业内部的局域网中,通过路由器或防火墙与外部网络相连;也可能直接部署在天翼云的公共网络环境中。了解云主机在网络拓扑中的位置,有助于判断哪些 IP 或 IP 段可能会与云主机进行正常的网络交互。如果云主机位于企业局域网内,那么通常只有局域网内的其他设备(如办公电脑、其他服务器等)以及经过授权的外部合作伙伴的 IP 才需要访问云主机;而如果云主机直接面向互联网提供服务,那么就需要考虑来自全球范围内的合法用户的访问请求。

其次,要清楚云主机与其他网络设备的连接关系。例如,云主机是否通过负均衡器与外部用户进行通信。如果存在负均衡器,那么组规则的设置就需要考虑负均衡器的 IP 以及它与云主机之间的通信端口。负均衡器通常会将外部用户的请求分发到多个云主机实例上,以实现高可用性和负分担。在这种情况下,组规则不仅要允许外部用户访问负均衡器的前端端口(如 80、443 端口),还需要确保负均衡器能够将请求正确转发到后端的云主机实例上,这就需要开放负均衡器与云主机之间通信所使用的端口。

另外,了解网络流量的流向也非常关键。我们需要知道云主机主要是接收外部的请求(如 Web 服务器),还是主动向外部发送请求(如数据备份服务器向远程存储设备传输数据)。对于接收外部请求的云主机,组规则主要侧重于设置入站规则,允许合法的外部请求进入云主机;而对于主动向外部发送请求的云主机,除了要确保入站规则不会阻止必要的响应流量返回外,还需要合理设置出站规则,限制云主机只能访问合法的外部目标,防止云主机被恶意软件利用,发起未经授权的网络连接,导致数据泄露或成为攻击源。

通过全面了解云主机所在的网络环境,我们能够更加准确地设置组规则中的源、目的以及端口等参数,从而构建出既满足业务需求又能有效保障的网络访问控制体系。

2.3 准备相关的网络参数和信息

在进行天翼云主机组配置之前,准备好相关的网络参数和信息是确保配置过程顺利进行的基础。这些参数和信息包括云主机的 IP 、子网掩码、网关以及需要开放或限制访问的端口号等,它们是设置组规则的核心要素。

云主机的 IP 是其在网络中的唯一标识,无论是设置允许访问云主机的源 IP ,还是确定云主机访问其他网络资源的目的 IP ,都需要准确知道云主机自身的 IP 。IP 分为公网 IP 和私网 IP ,公网 IP 用于云主机与外部互联网进行通信,私网 IP 则用于云主机在内部网络环境中的通信。在设置组规则时,要根据实际情况正确使用公网 IP 或私网 IP 。例如,如果希望外部互联网用户能够访问云主机上的 Web 服务,那么在设置入站规则的源时,就需要考虑来自公网的 IP 范围;而如果只是内部局域网内的其他设备需要访问云主机,那么源就应该设置为内部私网 IP 或 IP 段。

子网掩码用于确定一个 IP 所属的网络范围。在设置组规则时,当需要允许或限制某个网段内的所有 IP 访问云主机时,就需要使用子网掩码来表示这个网段。例如,“192.168.1.0/24” 中的 “/24” 就是子网掩码的一种表示方式,它表示该网段的子网掩码为 255.255.255.0,该网段包含了从 192.168.1.0  192.168.1.255  256 个 IP 。准确理解和使用子网掩码,能够帮助我们更加精确地控制网络访问范围,避因设置不当而导致漏洞或访问受限的问题。

网关是网络中的关键设备,它充当了不同网络之间的桥梁,负责将数据包转发到其他网络。云主机要访问外部网络,必须通过网关进行转发。在设置组规则时,了解网关的 IP 以及云主机与网关之间的通信端口是很重要的。例如,如果云主机需要通过网关访问外部的数据库服务器,那么在设置出站规则时,不仅要指定数据库服务器的 IP 和端口,还需要确保云主机与网关之间的通信端口是开放的,以保证数据包能够顺利通过网关进行转发。

此外,明确需要开放或限制访问的端口号也是至关重要的。如前文所述,不同的网络服务使用不同的端口号进行通信,根据云主机所承的业务功能,我们需要准确确定需要开放哪些端口来支持相应的服务。同时,对于一些敏感服务或不希望被公开访问的服务,要严格限制其端口的访问权限。在准备端口号信息时,要仔细核对每个服务所对应的端口号,避因端口号设置错误而导致服务无法正常运行或产生隐患。

三、天翼云主机组配置详细步骤

3.1 进入组管理界面

在完成了前期的准备工作后,接下来就可以开始进行天翼云主机组的实际配置操作了。整个配置过程是在天翼云的管理控制台中进行的,天翼云管理控制台为用户提供了一个直观、便捷的操作界面,使得用户能够轻松地完成组的各项设置。

首先,打开您常用的浏览器,在栏中输入天翼云管理控制台的官方网址(请确保从官方渠道获取正确的网址,以保障账号和数据)。然后,输入您注册的天翼云账号和密码进行登录。登录成功后,您将看到天翼云管理控制台的主界面,该界面包含了丰富的功能模块和菜单选项。

在控制台的导航菜单中,找到与云服务器相关的选项。通常,云服务器相关的管理功能会集中在一个特定的菜单下,可能名为 “云主机”“弹性云主机” 或类似的名称。点击进入该菜单,即可进入云服务器管理页面。在云服务器管理页面中,仔细查找并点击 “组” 选项。此时,您将进入组管理界面,在这个界面中,您可以看到已经创建的组列表,每个组都显示了相应的名称、ID 以及简要的描述信息,方便您对组进行识别和管理。

3.2 创建或选择组

进入组管理界面后,根据您的实际情况,您需要进行创建新组或选择已有的组的操作。

3.2.1 创建新组

如果您是首次为云主机配置组,或者需要为新的云主机实例创建一个专属的组,那么您需要点击组管理界面中的 “创建组” 按钮。点击该按钮后,系统会弹出一个创建组的对话框,在这个对话框中,您需要为新创建的组设置一些基本信息。

为组设置一个清晰、易于理解的名称。名称应能够准确反映该组所关联的云主机的业务用途或策略特点。例如,如果该组是用于保障 Web 服务器云主机的网络,您可以将其命名为 “Web 服务器组”;如果是为数据库服务器云主机创建的组,可以命名为 “数据库服务器组”。一个好的组名称有助于您在后续管理过程中快速识别和区分不同的组,提高管理效率。

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
0 / 1000
c****d
852文章数
0粉丝数
c****d
852 文章 | 0 粉丝
Ta的热门文章查看更多
云端文件传输新里程:天翼云主机FTP服务的全周期管理与可持续发展解码云电脑卡顿:全链路技术优化实战指南云主机技术全景:从基础架构到场景化落地的深度探索企业办公内网云电脑搭建全流程解析:安全高效的数字化办公新方案天翼云主机高效使用指南:从部署到优化的全链路实践解析
c****d
852文章数
0粉丝数
c****d
852 文章 | 0 粉丝
原创

新手入门:天翼云主机组配置全攻略

弹性负载均衡大数据开发套件(DAYU)大数据
2025-08-08 10:24:28
6
0

在数字化时代,云计算的普及让企业和个人能够便捷地获取大的计算资源。天翼云主机作为可靠的云计算服务之一,为用户提供了灵活、高效的虚拟服务器环境。然而,随着网络威胁日益复杂多样,保障云主机的变得至关重要。组作为天翼云主机网络的关键防线,对于新手用户来说,正确配置组规则是确保云主机运行的基础。本文将详细介绍天翼云主机组的概念、配置原则以及具体的操作步骤,帮助新手用户轻松掌握组的配置方法,为云主机构建坚实的壁垒。

一、认识天翼云主机组

1.1 组的定义与功能

组可以形象地理解为一种虚拟的防火墙,它围绕着天翼云主机实例,对进出云主机的网络流量进行严格的管控。从本质上讲,组是一组网络访问控制策略的集合,通过这些策略来决定哪些网络流量可以进入或离开云主机。每一个云主机实例都可以关联一个或多个组,而每个组又可以包含多条规则,这些规则相互配合,形成了对云主机网络访问的精细控制体系。

组的主要功能在于过滤网络流量,只有符合预设规则的数据包才能通过组的检查,进而到达云主机。例如,当我们希望云主机对外提供访问服务时,就需要在组中设置规则,允许来自互联网的 HTTP(端口 80)或 HTTPS(端口 443)请求进入云主机;而对于一些不希望公开访问的服务,如数据库服务,就需要限制外部网络的访问,仅允许特定的应用服务器 IP 进行连接。通过这种方式,组有效地保护了云主机受未经授权的网络访问,降低了风险。

1.2 组与传统防火墙的区别

与传统防火墙相比,天翼云主机组具有独特的优势,这些优势使得组在云计算环境中更加灵活、高效。

传统防火墙通常部署在网络边界,对整个网络区域的流量进行统一管理。它的配置相对复杂,需要专业的网络知识和技能来进行设置和维护。而且,传统防火墙一旦部署完成,修改规则往往需要经过繁琐的流程,灵活性较差。此外,传统防火墙在应对云计算环境中动态变化的网络需求时,显得力不从心。

而天翼云主机组则是基于云主机实例进行设置的,每个云主机都可以拥有的组配置。这意味着用户可以根据不同云主机的业务特点和需求,量身定制个性化的策略。例如,对于面向公众提供服务的 Web 服务器云主机,可以开放必要的 HTTP 和 HTTPS 端口,并限制访问来源;而对于存储敏感数据的数据库云主机,则可以设置更为严格的访问规则,只允许特定的应用服务器进行连接。组的规则修改也非常便捷,用户可以在天翼云控制台中随时进行调整,规则修改后会立即生效,无需等待复杂的部署过程。这种灵活性和动态性使得组能够更好地适应云计算环境中快速变化的业务需求和挑战。

1.3 组规则的构成要素

组规则由多个关键要素组成,这些要素共同决定了一条规则的具体作用和适用范围。了解这些要素是正确配置组规则的基础。

1.3.1 协议类型

协议类型是组规则中的重要组成部分,它指定了规则所适用的网络协议。常见的协议类型包括 TCP、UDP 和 ICMP 等。不同的网络应用和服务使用不同的协议进行通信,因此在设置组规则时,需要根据云主机上运行的具体服务来选择相应的协议类型。

TCP(传输控制协议)是一种面向连接的、可靠的传输协议,常用于对数据传输准确性和完整性要求较高的应用场景,如 HTTP、HTTPS、SSH、SMTP 等服务。例如,当我们希望允许外部用户通过浏览器访问云主机上的时,就需要在组规则中选择 TCP 协议,并开放相应的端口(80 端口用于 HTTP 协议,443 端口用于 HTTPS 协议)。

UDP(用户数据报协议)是一种无连接的、不可靠的传输协议,它的传输速度较快,但不保证数据的可靠传输。UDP 协议通常用于对实时性要求较高、允许一定数据丢失的应用场景,如 DNS(域名系统)查询、视频流传输、在线游戏等。例如,为了使云主机能够正常进行 DNS 解析,就需要在组规则中允许 UDP 协议的 53 端口进行通信。

ICMP(互联网控制消息协议)主要用于网络设备之间传递控制信息和错误消息,例如 Ping 命令就是基于 ICMP 协议实现的。在一些情况下,我们可能需要在组规则中允许 ICMP 协议的特定类型消息通过,以便进行网络连通性测试和故障排查。但需要注意的是,过度开放 ICMP 协议可能会带来一定的风险,因此在设置规则时要谨慎考虑。

1.3.2 端口范围

端口是网络通信中用于标识不同应用程序或服务的逻辑。在组规则中,端口范围指定了规则所适用的端口号或端口区间。每个网络服务都默认使用特定的端口号进行通信,通过设置端口范围,我们可以精确地控制哪些服务可以被访问或允许访问其他服务。

端口号的范围是 0 - 65535,其中 1 - 1023 为知名端口,这些端口通常被一些常见的网络服务所占用,例如 80 端口用于 HTTP 服务,443 端口用于 HTTPS 服务,22 端口用于 SSH 服务,21 端口用于 FTP 服务等。在设置组规则时,我们需要根据云主机上运行的服务来开放相应的端口。例如,如果云主机上搭建了一个 Web 服务器,就需要开放 80 端口(用于 HTTP 协议)和 443 端口(用于 HTTPS 协议),以便外部用户能够通过浏览器访问内容;如果云主机作为 FTP 服务器使用,则需要开放 20 和 21 端口。

在设置端口范围时,我们既可以指定单个端口,如 “80” 表示只开放 80 端口;也可以设置一个端口区间,如 “1000 - 2000” 表示开放从 1000 到 2000 号的端口。需要注意的是,开放过多不必要的端口会增加云主机的风险,因为更多的端口意味着更多的攻击面,所以在设置端口范围时要遵循最小权限原则,只开放云主机业务所必需的端口。

1.3.3 源与目的

源和目的在组规则中分别指定了允许访问云主机的网络来源以及访问的目标对象。源通常是指发起网络请求的 IP 或 IP 段,而目的一般就是云主机自身的 IP 或关联的网络资源。

当设置源时,我们可以根据实际需求进行精确控制。如果只希望特定的某个 IP 能够访问云主机,那么可以直接在源字段中输入该 IP ;如果允许某个网段内的所有 IP 访问云主机,则需要输入该网段的范围,格式为 “IP  / 子网掩码”。例如,“192.168.1.0/24” 表示允许 192.168.1.0  192.168.1.255 这个网段内的所有 IP 访问云主机。通过合理设置源,可以有效地限制只有授权的网络来源能够与云主机进行通信,防止未经授权的外部 IP 访问云主机,从而保障云主机的。

目的在大多数情况下就是云主机自身的 IP 或关联的网络资源。当云主机需要访问其他外部服务时,目的则指向外部服务的 IP 或域名。例如,当云主机上的应用程序需要连接到外部的数据库服务器时,组规则中的目的就应该设置为数据库服务器的 IP ,并开放相应的端口,以允许云主机与数据库服务器进行通信。

二、天翼云主机组配置前的准备工作

2.1 梳理云主机的业务需求

在着手配置天翼云主机组之前,全面、深入地梳理云主机的业务需求是至关重要的第一步。不同类型的云主机,其承的业务功能和网络访问需求存在显著差异,只有准确把握这些需求,才能为组规则的设置提供明确、合理的方向。

对于常见的 Web 服务器云主机,其主要业务是向互联网用户提供网页浏览服务。因此,为了确保用户能够正常访问,需要在组中开放 HTTP 协议的 80 端口和 HTTPS 协议的 443 端口,允许来自互联网的相关请求进入云主机。同时,如果 Web 服务器还需要支持其他功能,如文件上传、下等,可能还需要开放相应的端口,如 FTP 协议的 20 和 21 端口(但需注意 FTP 协议存在一定风险,可考虑使用更的 SFTP 协议替代)。

而对于数据库服务器云主机,其存储着大量的关键业务数据,性要求极高。一般情况下,数据库服务器只需要与特定的应用服务器进行通信,以提供数据存储和查询服务。因此,在组规则设置中,应严格限制访问来源,仅允许应用服务器的 IP 或 IP 段通过指定端口(如 MySQL 数据库的 3306 端口、Oracle 数据库的 1521 端口等)访问数据库服务器,避外部网络直接访问数据库,从而有效降低数据泄露的风险。

再比如,邮件服务器云主机需要支持 SMTP(简单邮件传输协议,端口 25)用于发送邮件、POP3(邮局协议版本 3,端口 110)或 IMAP(互联网邮件访问协议,端口 143)用于接收邮件,同时可能还需要开放 SSL/TLS 加密协议对应的端口(如 465 端口用于 SMTP over SSL,995 端口用于 POP3 over SSL,993 端口用于 IMAP over SSL),以保障邮件通信的。

通过详细梳理云主机的业务功能以及与之对应的网络访问需求,我们能够清晰地确定需要开放哪些端口、允许哪些源进行访问,从而为后续组规则的准确设置奠定坚实的基础。

2.2 了解云主机所在的网络环境

除了明确云主机的业务需求外,深入了解云主机所在的网络环境也是配置组前不可或缺的重要准备工作。网络环境包括多个方面的信息,如网络拓扑结构、与其他网络设备的连接关系以及网络流量的流向等,这些信息对于合理设置组规则具有重要的指导意义。

首先,要明确云主机所在的网络拓扑结构。云主机可能位于一个复杂的网络架构中,例如,它可能处于企业内部的局域网中,通过路由器或防火墙与外部网络相连;也可能直接部署在天翼云的公共网络环境中。了解云主机在网络拓扑中的位置,有助于判断哪些 IP 或 IP 段可能会与云主机进行正常的网络交互。如果云主机位于企业局域网内,那么通常只有局域网内的其他设备(如办公电脑、其他服务器等)以及经过授权的外部合作伙伴的 IP 才需要访问云主机;而如果云主机直接面向互联网提供服务,那么就需要考虑来自全球范围内的合法用户的访问请求。

其次,要清楚云主机与其他网络设备的连接关系。例如,云主机是否通过负均衡器与外部用户进行通信。如果存在负均衡器,那么组规则的设置就需要考虑负均衡器的 IP 以及它与云主机之间的通信端口。负均衡器通常会将外部用户的请求分发到多个云主机实例上,以实现高可用性和负分担。在这种情况下,组规则不仅要允许外部用户访问负均衡器的前端端口(如 80、443 端口),还需要确保负均衡器能够将请求正确转发到后端的云主机实例上,这就需要开放负均衡器与云主机之间通信所使用的端口。

另外,了解网络流量的流向也非常关键。我们需要知道云主机主要是接收外部的请求(如 Web 服务器),还是主动向外部发送请求(如数据备份服务器向远程存储设备传输数据)。对于接收外部请求的云主机,组规则主要侧重于设置入站规则,允许合法的外部请求进入云主机;而对于主动向外部发送请求的云主机,除了要确保入站规则不会阻止必要的响应流量返回外,还需要合理设置出站规则,限制云主机只能访问合法的外部目标,防止云主机被恶意软件利用,发起未经授权的网络连接,导致数据泄露或成为攻击源。

通过全面了解云主机所在的网络环境,我们能够更加准确地设置组规则中的源、目的以及端口等参数,从而构建出既满足业务需求又能有效保障的网络访问控制体系。

2.3 准备相关的网络参数和信息

在进行天翼云主机组配置之前,准备好相关的网络参数和信息是确保配置过程顺利进行的基础。这些参数和信息包括云主机的 IP 、子网掩码、网关以及需要开放或限制访问的端口号等,它们是设置组规则的核心要素。

云主机的 IP 是其在网络中的唯一标识,无论是设置允许访问云主机的源 IP ,还是确定云主机访问其他网络资源的目的 IP ,都需要准确知道云主机自身的 IP 。IP 分为公网 IP 和私网 IP ,公网 IP 用于云主机与外部互联网进行通信,私网 IP 则用于云主机在内部网络环境中的通信。在设置组规则时,要根据实际情况正确使用公网 IP 或私网 IP 。例如,如果希望外部互联网用户能够访问云主机上的 Web 服务,那么在设置入站规则的源时,就需要考虑来自公网的 IP 范围;而如果只是内部局域网内的其他设备需要访问云主机,那么源就应该设置为内部私网 IP 或 IP 段。

子网掩码用于确定一个 IP 所属的网络范围。在设置组规则时,当需要允许或限制某个网段内的所有 IP 访问云主机时,就需要使用子网掩码来表示这个网段。例如,“192.168.1.0/24” 中的 “/24” 就是子网掩码的一种表示方式,它表示该网段的子网掩码为 255.255.255.0,该网段包含了从 192.168.1.0  192.168.1.255  256 个 IP 。准确理解和使用子网掩码,能够帮助我们更加精确地控制网络访问范围,避因设置不当而导致漏洞或访问受限的问题。

网关是网络中的关键设备,它充当了不同网络之间的桥梁,负责将数据包转发到其他网络。云主机要访问外部网络,必须通过网关进行转发。在设置组规则时,了解网关的 IP 以及云主机与网关之间的通信端口是很重要的。例如,如果云主机需要通过网关访问外部的数据库服务器,那么在设置出站规则时,不仅要指定数据库服务器的 IP 和端口,还需要确保云主机与网关之间的通信端口是开放的,以保证数据包能够顺利通过网关进行转发。

此外,明确需要开放或限制访问的端口号也是至关重要的。如前文所述,不同的网络服务使用不同的端口号进行通信,根据云主机所承的业务功能,我们需要准确确定需要开放哪些端口来支持相应的服务。同时,对于一些敏感服务或不希望被公开访问的服务,要严格限制其端口的访问权限。在准备端口号信息时,要仔细核对每个服务所对应的端口号,避因端口号设置错误而导致服务无法正常运行或产生隐患。

三、天翼云主机组配置详细步骤

3.1 进入组管理界面

在完成了前期的准备工作后,接下来就可以开始进行天翼云主机组的实际配置操作了。整个配置过程是在天翼云的管理控制台中进行的,天翼云管理控制台为用户提供了一个直观、便捷的操作界面,使得用户能够轻松地完成组的各项设置。

首先,打开您常用的浏览器,在栏中输入天翼云管理控制台的官方网址(请确保从官方渠道获取正确的网址,以保障账号和数据)。然后,输入您注册的天翼云账号和密码进行登录。登录成功后,您将看到天翼云管理控制台的主界面,该界面包含了丰富的功能模块和菜单选项。

在控制台的导航菜单中,找到与云服务器相关的选项。通常,云服务器相关的管理功能会集中在一个特定的菜单下,可能名为 “云主机”“弹性云主机” 或类似的名称。点击进入该菜单,即可进入云服务器管理页面。在云服务器管理页面中,仔细查找并点击 “组” 选项。此时,您将进入组管理界面,在这个界面中,您可以看到已经创建的组列表,每个组都显示了相应的名称、ID 以及简要的描述信息,方便您对组进行识别和管理。

3.2 创建或选择组

进入组管理界面后,根据您的实际情况,您需要进行创建新组或选择已有的组的操作。

3.2.1 创建新组

如果您是首次为云主机配置组,或者需要为新的云主机实例创建一个专属的组,那么您需要点击组管理界面中的 “创建组” 按钮。点击该按钮后,系统会弹出一个创建组的对话框,在这个对话框中,您需要为新创建的组设置一些基本信息。

为组设置一个清晰、易于理解的名称。名称应能够准确反映该组所关联的云主机的业务用途或策略特点。例如,如果该组是用于保障 Web 服务器云主机的网络,您可以将其命名为 “Web 服务器组”;如果是为数据库服务器云主机创建的组,可以命名为 “数据库服务器组”。一个好的组名称有助于您在后续管理过程中快速识别和区分不同的组,提高管理效率。

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
文章 | 订阅
0条评论
0 / 1000
请输入你的评论
0
0
售前咨询热线
400-810-9889转1
关注天翼云
  • 旗舰店
  • 天翼云APP
  • 天翼云微信公众号
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号