安全组的设置用来管理边缘实例是否可以被访问,您可以通过配置安全组的入站和出站规则,设置您的边缘实例是否可以被访问以及访问其他网络资源。
默认情况下,安全组的入站规则和出站规则如下:
为了数据安全,安全组的入站规则为拒绝策略,禁止外部网络的远程访问。如果您需要您的边缘实例被外部访问,则需要放通相应端口的入站规则。
安全组的出站规则用于设置您的边缘实例是否可以访问外部网络资源。如果您选择放通全部端口或放通22,80,443,3389端口和 ICMP 协议,安全组出站规则为全部放通。如果您选择自定义安全组规则,出站规则默认为全部拒绝,您需要放通相应端口的出站规则来访问外部网络资源。
常见应用场景
本文介绍了几个常见的安全组应用场景,如果以下场景可以满足您的需求,可直接按照场景中的推荐配置进行安全组的设置。
场景一:允许 SSH 远程连接 Linux 边缘实例
案例:您创建了一台 Linux 边缘实例,并希望可以通过 SSH 远程连接到边缘实例。
解决方法:添加安全组规则 时,在类型中选择Linux 登录,开通22号协议端口,放通 Linux SSH 登录。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 SSH 远程连接到边缘实例的 IP 来源。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | Linux 登录 | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 段 | TCP:22 | 允许 |
场景二:允许 RDP 远程连接 Windows 边缘实例
案例:您创建了一台 Windows 边缘实例,并希望可以通过 RDP 远程连接到边缘实例。
解决方法:添加安全组规则 时,在类型中选择Windows 登录,开通3389号协议端口,放通 Windows 远程登录。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 RDP 远程连接到边缘实例的 IP 来源。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | Windows 登录 | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 段 | TCP:3389 | 允许 |
场景三:允许公网 Ping 服务器
案例:您创建了一台边缘实例,希望可以测试这台边缘实例和其他边缘实例之间的通信状态是否正常。
解决方法:使用 ping 程序进行测试。即在 添加安全组规则 时,将类型选择为Ping,开通 ICMP 协议端口,允许其他边缘实例通过 ICMP 协议访问该边缘实例。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置允许通过 ICMP 协议访问该边缘实例的 IP 来源。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | Ping | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 地址段 | ICMP | 允许 |
场景四:Telnet 远程登录
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | 自定义 | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 地址段 | TCP:23 | 允许 |
场景五:放通 Web 服务 HTTP 或 HTTPS 访问
案例:您搭建了一个网站,希望用户可以通过 HTTP 或者 HTTPS 的方式访问您搭建的网站。
解决方法:如需通过 HTTP 或者 HTTPS 的方式访问网站,则需在 添加安全组规则 时,根据实际需求配置以下安全组规则:
允许公网上的所有 IP 访问该网站
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | HTTP(80) | 0.0.0.0/0 | TCP:80 | 允许 |
入方向 | HTTPS(443) | 0.0.0.0/0 | TCP:443 | 允许 |
允许公网上的部分 IP 访问该网站
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | HTTP(80) | 允许访问您网站的 IP 或 IP 地址段 | TCP:80 | 允许 |
入方向 | HTTPS(443) | 允许访问您网站的 IP 或 IP 地址段 | TCP:443 | 允许 |
场景六:允许外部 IP 访问指定端口
案例:您部署业务后,希望指定的业务端口(例如:1101)可以被外部访问。
解决方法:添加安全组规则 时,在类型中选择自定义,开通1101号协议端口,允许外部访问指定的业务端口。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),允许访问指定的业务端口的 IP 来源。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | 自定义 | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 地址段 | TCP:1101 | 允许 |
场景七:拒绝外部 IP 访问指定端口
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | 自定义 | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 地址段 | TCP:1102 | 拒绝 |
场景八:只允许边缘实例访问特定外部 IP
案例:您希望您的边缘实例只能访问外部特定的 IP 地址。
解决方法:参考如下配置,增加如下两条出方向的安全组规则。
允许实例访问特定公网 IP 地址
禁止实例以任何协议访问所有公网 IP 地址
注意
允许访问的规则优先级应高于拒绝访问的规则优先级。
方向 | 类型 | 来源 | 协议端口 | 策略 |
出方向 | 自定义 | 允许边缘实例访问的特定公网 IP 地址 | 需使用的协议类型和端口 | 允许 |
出方向 | 自定义 | 0.0.0.0/0 | ALL | 拒绝 |
场景九:拒绝边缘实例访问特定外部 IP
案例:您不希望您的边缘实例可以访问外部特定的 IP 地址。
解决方法:参考如下配置,添加安全组规则。
方向 | 类型 | 来源 | 协议端口 | 策略 |
出方向 | 自定义 | 拒绝实例访问的特定公网 IP 地址 | ALL | 拒绝 |
场景十:使用 FTP 上传或下载文件
案例:您需要使用 FTP 软件向边缘实例上传或下载文件。
解决方法:参考如下配置,添加安全组规则。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | 自定义 | 0.0.0.0/0 | TCP:20-21 | 允许 |
多场景组合
在实际的场景中,可能需要根据业务需求配置多个安全组规则。例如,同时配置入站或者出站规则。一台边缘实例可以绑定一个或多个安全组,当边缘实例绑定多个安全组时,多个安全组将按照从上到下依次匹配执行。您可以随时调整安全组的优先级,安全组规则的优先级说明请参见 规则优先级说明。