安全组概述-九游平台

安全组

安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。

您也可以根据需要创建自定义的安全组，或使用默认安全组，系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。默认安全组您可以直接使用，详情请参见。

安全组需在网络互通的情况下生效。若实例属于不同vpc，但同属于一个安全组，则此安全组不生效，您可以使用对等连接等产品建立vpc连接互通。vpc连接请参见。

安全组规则

安全组创建后，您可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。

每个安全组都自带默认安全组规则，详情请参见。您也可以自定义添加安全组规则，请参见。

安全组的使用限制

• 为了确保良好的网络性能体验，建议一个实例最多关联5个安全组。
• 建议一个安全组关联的实例数量不应超过6000个，否则会引起安全组性能下降。
• 在一个安全组中，对于入方向规则来说，源地址是安全组的规则数量 源地址是ip地址组的规则数量 端口是不连续端口号的规则数量 ≤ 128条，否则超过数量的安全组规则将不生效。出方向的限制和入方向一致。
  • 源地址是安全组时，包括本安全组和其他安全组。
  • 不连续端口号取值示例为22,25,27。
• 如果您添加安全组规则时，使用ip地址组或者不连续端口，那么该安全组规则对不同规格云服务器的生效情况存在差异，为了避免您的安全组规则不生效，请您查看表1了解详情。

  表1 安全组规则限制

  安全组规则	云服务器类型
  添加安全组规则时，“源地址”和“目的地址”可选择“ip地址组”	不支持的x86云服务器规格如下： 通用计算型（s1型、c1型、c2型 ） 内存优化型（m1型） 高性能计算型（h1型） 磁盘增强型（ d1型） gpu加速型（g1型、g2型） 超大内存型（e1型、e2型、et2型）
  添加安全组规则时，“协议端口”可配置为不连续端口号	不支持的x86云服务器规格如下： 通用计算型（s1型、c1型、c2型 ） 内存优化型（m1型） 高性能计算型（h1型） 磁盘增强型（ d1型） gpu加速型（g1型、g2型） 超大内存型（e1型、e2型、et2型）
  	所有鲲鹏云服务器规格不支持配置不连续端口。 如果您在鲲鹏云服务器中添加安全组规则时，使用了不连续端口号，那么除了该条规则不会生效，该规则后的其他规则也不会生效。比如： 您先配置了安全组规则a（不连续端口号22,24），再配置了下一条安全组规则b（独立端口号9096），则安全组规则a和b均不会生效。

  

  • x86云服务器规格详情，请参见。
  • 鲲鹏云服务器规格详情，请参见。
• 当您的组网中存在以下情况时，来自elb和vpcep的流量不受网络acl和安全组规则的限制。
  • elb实例的监听器开启“获取客户端ip”功能时，不受限制。

    比如规则已明确拒绝来自elb实例的流量进入后端云服务器，此时该规则无法拦截来自elb的流量，流量依然会抵达后端云服务器。

  • vpcep实例类型为“专业型”时，不受限制。

相关链接

• 安全组配置示例