安全组
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。
系统会为每个用户创建一个默认安全组,默认安全组规则说明如下:
- 出方向报文放行:默认安全组内的实例可以对其他安全组内的实例发起请求,并收到响应。
- 入方向报文受限:来自其他安全组内实例的请求会被默认安全组拦截。
同一个安全组内的实例无需添加规则即可互相访问。
如果默认安全组不满足使用需求,你可以修改安全组规则或者创建自定义安全组。
安全组基本信息
- 服务器及扩展网卡等实例可以关联一个或多个安全组。您可以更改与服务器、扩展网卡等实例关联的安全组。默认情况下创建实例时,除非您指定了其他安全组,否则实例与VPC的默认安全组关联。
- 如果您创建了放通同安全组的安全组规则,则允许安全组内实例互相访问。对于IPv4类型的地址,安全组只支持加入32位前缀的地址,对于IPv6类型的地址,安全组只支持加入128位前缀的地址。具体如何更改实例安全组,请参见实例加入/移出安全组。
- 安全组是有状态的。如果您从实例发送一个出站请求,且该安全组的出站规则是放通的话,那么无论其入站规则如何,都将允许该出站请求的响应流量流入。同理,如果该安全组的入站规则是放通的,那无论出站规则如何,都将允许入站请求的响应流量可以出站。
安全组使用连接跟踪来跟踪有关进出实例的流量信息,将基于流量的连接状态应用规则以确定允许还是拒绝流量。
说明:
安全组需在网络互通的情况下生效。若实例属于不同VPC,但同属于一个安全组,此时实例不能互通。您可以使用对等连接等产品建立VPC连接互通,安全组才能对不同VPC内实例的流量进行访问控制。
安全组规则
安全组创建后,您可以在安全组中设置出方向、入方向规则,这些规则会对安全组内部的实例出入方向网络流量进行访问控制,当实例加入该安全组后,即受到这些访问规则的保护。