安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置边缘计算机器(Edge Computing Machine,ECM)实例、边缘负载均衡 ELB、弹性网卡等资源的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。
您可以通过配置安全组规则,允许或禁止安全组内的实例的出流量和入流量。
边缘计算机器的安全组功能与中心云的公共安全组功能逻辑上隔离,云服务器等中心云产品无法关联边缘计算机器产品下的安全组,边缘计算机器下的产品(例如边缘模块、ECM 实例及 ELB)等资源亦无法直接关联中心云的公共安全组。如果您在公共安全组中有已创建的安全组策略,可通过 导入安全组 导入对应的数据,导入后会重新生成面向边缘产品的安全组数据。
安全组特点
安全组是一个逻辑上的分组,您可以将具有相同网络安全隔离需求的 ECM 实例、ELB、弹性网卡等资源加到同一个安全组内。
关联了同一安全组的实例间默认不会互通,您需要添加相应的允许规则。
安全组是有状态的,创建后无规则时默认拒绝所有流量,对于您已允许的入站/出站流量,都将自动允许其流出,反之亦然。
您可以随时修改安全组的规则,新规则立即生效。
使用限制
ECM 安全组的使用限制及配额如下表所示:
功能描述 | 数量 |
用户创建安全组上限 | 200 |
安全组出(入)站规则数 | 100 |
每个安全组关联的 ECM 实例数 | 2000 |
每个安全组关联的 ECM 模块数 | 100 |
每个 ECM 资源(实例,弹性网卡等)关联的安全组个数 | 5 |
每个 ECM 模块关联的安全组个数 | 5 |
每个安全组可以引用的安全组 ID 的个数 | 10 |
安全组规则
组成部分
安全组规则包括如下组成部分:
来源:源数据(入站)或目标数据(出站)的 IP。
协议类型和协议端口:协议类型如 TCP、UDP、HTTP 等。
策略:允许或拒绝。
规则优先级
安全组内规则具有优先级。规则优先级通过规则在列表中的位置来表示,列表顶端规则优先级最高,最先应用;列表底端规则优先级最低。
若有规则冲突,则默认应用位置更前的规则。
当有流量入/出绑定某安全组的实例时,将从安全组规则列表顶端的规则开始逐条匹配至最后一条。如果成功匹配某条规则,则对应该规则的流量不会继续往下匹配。
多个安全组
一个实例可以绑定一个或多个安全组,当实例绑定多个安全组时,多个安全组将按照从上到下依次匹配执行,您可以随时调整安全组的优先级。
安全组模板
新建安全组时,您可以选择腾讯云为您提供的两种安全组模板:
放通全部端口模板:将会放通所有出入站流量。
放通常用端口模板:将会放通 TCP 22端口(Linux SSH 登录),80、443端口(Web 服务),3389端口(Windows 远程登录)、 ICMP 协议(Ping)、放通内网。
使用流程
安全组的使用流程如下图所示:
