安全组

安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。

系统会为每个用户创建一个默认安全组，默认安全组规则说明如下：

• 出方向报文放行：默认安全组内的实例可以对其他安全组内的实例发起请求，并收到响应。
• 入方向报文受限：来自其他安全组内实例的请求会被默认安全组拦截。

同一个安全组内的实例无需添加规则即可互相访问。

如果默认安全组不满足使用需求，你可以修改安全组规则或者创建自定义安全组。

安全组基本信息

• 服务器及扩展网卡等实例可以关联一个或多个安全组。您可以更改与服务器、扩展网卡等实例关联的安全组。默认情况下创建实例时，除非您指定了其他安全组，否则实例与VPC的默认安全组关联。
• 如果您创建了放通同安全组的安全组规则，则允许安全组内实例互相访问。对于IPv4类型的地址，安全组只支持加入32位前缀的地址，对于IPv6类型的地址，安全组只支持加入128位前缀的地址。具体如何更改实例安全组，请参见实例加入/移出安全组。
• 安全组是有状态的。如果您从实例发送一个出站请求，且该安全组的出站规则是放通的话，那么无论其入站规则如何，都将允许该出站请求的响应流量流入。同理，如果该安全组的入站规则是放通的，那无论出站规则如何，都将允许入站请求的响应流量可以出站。

安全组使用连接跟踪来跟踪有关进出实例的流量信息，将基于流量的连接状态应用规则以确定允许还是拒绝流量。

说明：

安全组需在网络互通的情况下生效。若实例属于不同VPC，但同属于一个安全组，此时实例不能互通。您可以使用对等连接等产品建立VPC连接互通，安全组才能对不同VPC内实例的流量进行访问控制。

安全组规则

安全组创建后，您可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的实例出入方向网络流量进行访问控制，当实例加入该安全组后，即受到这些访问规则的保护。