日期:2016-01-14  浏览次数:3133 次

安全组的默认规则

1)     系统自动为客户创建的安全组(System Created Security Group)。

a)     经典网络下默认安全组的默认网络访问控制规则为:

l  内网入方向deny all,出方向accept all

l  公网出方向、入方向均授权0.0.0.0/0全通,即对internet accept all。

 

b)     专有网络(VPC)下默认安全组的默认网络访问控制规则为:

l  内网出方向、入方向均授权0.0.0.0/0全通,即允许和VPC内其他任何实例双向互访。

2)     客户自己创建的安全组,在没有添加任务安全组规则之前,内网、公网默认规则均为出方向accept all,入方向deny all。

 

应用场景举例

场景1:同一个地域内,同一个账号下,经典网络下通过安全组规则设置云服务器之间内网互通。

方案1:同一个安全组下的云服务器默认是内网互通的。不同的安全组下云服务器默认是内网不通的。可以把云服务器放入到相同的安全组中,就可以满足内网都互通了。

方案2:如果云服务器不在同一个安全组内,两个安全组互相内网授权安全组访问类型的安全组规则。

 步骤1.创建两个安全组

 步骤2:将云服务器分别移入对应的安全组

 点击管理实例,进入管理该安全组下的实例列表,点击移入安全组,选中需要的实例。

 

两个安全组下都移入了对应的云服务器。

步骤三:添加安全组规则,分别允许其他安全组可以通过内网入方向访问。

具体的授权协议根据实际应用来确定。

步骤四:登录云服务器可以进行互相访问

比如:ping 云服务器的内网地址

 

 

场景2:同一个地域内,不同账号下,经典网络下通过安全组规则设置两台云服务器之间内网互通。比如:UserA的用户在杭州有一台经典网络的ECS云服务器InstanceA(内网IPA.A.A.A),InstanceA所属的安全组为GroupAUserB的用户在杭州有一台经典网络的ECS云服务器InstanceB(内网IP:B.B.B.B)InstanceB所属的安全组为GroupB。那么怎么通过安全组配置实现InstanceAInstanceB在内网上互通。

   步骤1.UserAGroupA添加一条这样的规则:

在内网入方向上授权B.B.B.BIP可以访问GroupA下的所有ECS云服务器。

 

   步骤2.UserBGroupB添加一条这样的规则:

 在内网入方向上授权A.A.A.AIP可以访问GroupB下的所有ECS云服务器。

 

 经过这两步的设置即可。