若已使用旧版企业安全组,可以通过如下操作将旧版企业安全组的规则迁移至新版中。
迁移思路
1. 设置规则开关不自动开启。
2. 梳理旧版企业安全组策略。
3. 配置迁移到新版企业安全组。
4. 开启新版企业安全组开关。
5. 验证策略是否下发成功并生效。
6. 验证没问题后,删除旧版企业安全组规则。
7. 完成迁移。
注意
步骤1:设置规则开关不自动开启
建立新版企业安全组规则之后,规则开关不会自动开启,需要手动去开启,从而做到控制安全组策略的下发,避免规则配置错误影响业务,具体配置如下:
1. 登录 云防火墙控制台,在左侧导航单击通用设置,进入通用设置页面。
2. 在通用设置页面,下翻找到访问控制规则设置项,选择默认不启用。
步骤2:梳理旧版企业安全组策略
明确旧版企业安全组的出入站规则,有哪些规则是双向的、单向的、怎样配置的,为制定新版企业安全组规则做准备。将通过一个举例来演示一下规则迁移的步骤。具体详情如下:
1. 在 企业安全组 > 入站规则页面,显示成都地域配置了2条入站规则和2条出站规则。其中,入站规则第一条针对 
vpc-myx6j4d6 这个实例设置了一条入站策略,允许10.0.0.17访问,第二条也设置了一条入站策略,禁止所有其他 IP 访问。
2. 单击出站规则切换页面 ,很明显第一条规则是入站创建规则时勾选了双向下发自动生成的,即针对 
ins-epbodmyx 这个访问源自动生成了一条允许访问 vpc-myx6j4d6 这个实例的出站规则,第二条规则是手动设置一条禁止 ins-epbodmyx 访问其他 IP 的规则。
3. 以上就是对旧版企业安全组规则分析的一个举例,具体每个环境中要根据实际情况去分析。分析完成之后,需要把规则迁移到新版企业安全组了。
步骤3:迁移到新版企业安全组
根据上面的例子,将介绍新版企业安全组该如何去配置才能实现相同的效果。
1. 首先,为您介绍新版企业安全组配置界面做了哪些改动,如下图所示,新版增加了 IP、地域等配置项目,可以实现两个 IP 段之间访问控制以及 IP、资产实例、资产分组到地域等双向的访问控制。
2. 介绍了新版的配置规则之后,再来看到上述两个出入站场景规则该如何配置。入站策略配置要点有两条:一条允许
10.0.0.17 访问 vpc-myx6j4d6;一条禁止所有 IP 访问 vpc-myx6j4d6,具体配置如下图所示:2.1 在 企业安全组(新)页面,单击添加规则,弹出添加规则窗口。
2.2 在添加规则窗口中,配置相关参数,单击确定。
参数名称 | 第一条规则 | 第二条规则 |
访问源类型 | IP/CIDR | IP/CIDR |
访问目的类型 | 选择资产实例 | 选择资产实例 |
端口协议类型 | 自定义 | 自定义 |
规则优先级 | 自定义 | 自定义 |
访问源 | 10.0.0.17 | 0.0.0.0/0 |
访问目的 | vpc-myx6j4d6 | vpc-myx6j4d6 |
目的端口 | 所有 | 所有 |
协议 | 所有 | 所有 |
策略 | 放行 | 阻断 |
描述 | 自定义 | 自定义 |
3. 等待几秒钟下发到资产的安全组,即可将旧版企业安全组策略迁移至新版企业安全组。
步骤4:开启新版企业安全组开关
开启新版安全组规则的开关,使该规则生效。
1. 在 企业安全组(新)页面,选择所需规则,单击状态列下的
2. 在“确认开启”弹窗中,单击确定,该规则即可生效。
步骤5:验证策略是否下发成功并生效
启用规则后,需要去实例的安全组看一下策略是否下发成功。
1. 登录 私有网络控制台,在左侧导航中,选择安全 > 安全组,并选择所需地域和项目。
2. 在安全组页面,红框标出来的安全组策略是通过企业安全组下发的,底下标注了 cfwsg 字样也代表该规则是通过云防火墙创建的。
3. 单击任意一条安全组“ID/名称”,验证一下上述规则是否下发成功,如下图所示,两条入站规则下发成功。
4. 单击出站规则切换页面,如下图所示,出站规则也是下发成功了。
说明
第一条规则是自动双向下发生成的,即在
vpc-myx6j4d6(172.27.0.0/16)的入站方向创建了一条允许10.0.0.17访问的规则,相应的针对10.0.0.17,会在它的出站方向自动生成一条允许访问vpc-myx6j4d6(172.27.0.0/16)的出站规则。第三条禁止访问所有的规则也已经下发成功。
步骤6:删除旧版企业安全组规则
通过上述验证新版规则下发没问题之后,就可以把旧版的规则删除。
1. 在 企业安全组 > 入站规则页面,支持删除单个或全部规则,具体操作如下所示。
单个:选择所需规则,单击操作列的删除,弹出“确认删除” 窗口。
全部:单击更多操作 > 全部删除,弹出“确认删除” 窗口。
2. 在“确认删除” 窗口中,单击确定,即可删除规则。