什么是安全组

安全组是一种虚拟防火墙,用户可以在安全组中定义各种访问规则,这些访问规则称为安全组规则,安全组便是一系列安全组规则的集合。安全组可以绑定的实例类型有:云服务器、网卡、负载均衡器、VPC 网络、NAT 网关、AppCenter 应用集群。当实例绑定安全组后,便可受到安全组规则的保护,以提高内部网络或云服务器的安全性。

系统会为每个用户创建一个默认安全组,默认安全组可直接使用。用户也可以根据需要创建自定义的安全组。默认安全组以及自定义安全组均有一些默认的规则,详请参见默认安全组和规则

安全组规则

安全组规则是在安全组中定义的访问控制规则,用于控制安全组所关联实例的出入站流量。

安全组规则由源/目的 IP、协议类型、端口范围、方向(出/入)、行为(拒绝/接受)、优先级等信息组成,当实例加入安全组后,安全组会使用连接跟踪来跟踪有关进出实例的流量信息,基于流量的连接状态匹配到相应规则,以确定是允许还是拒绝流量。

基本使用流程

sg cfg process

使用限制

  • 安全组区分地域,实例只能与相同地域中的安全组进行绑定。

  • 每个账户在每个区域可以创建的安全组数量、IP/端口集合数量,与账户配额有关,请在资源 > 我的配额中查看。

  • 单个安全组的下行规则和上行规则的最大规则数量分别不超过 100 条。

  • 单个安全组支持的规则子集数量最多为 10。

  • 安全组规则的优先级范围为 0~100,优先级的数字越小代表的优先级越高。当多条安全组规则优先级一致时,规则生效顺序取决于数据库读取的顺序,因此应尽量避免设置相同优先级的多条规则。

  • 一个云服务器可以加入多个安全组,一个安全组可同时关联多个云服务器。

  • 一个云服务器或网卡选择安全组的数量不多于 5 个。

  • 云服务器绑定多个安全组时,系统会将多个安全组的规则汇总在一起,并按照安全组规则的优先级生效。

实践建议

请参见安全组实践建议