安全组配置示例_安全组_安全管理_用户指南_弹性云服务器ECS

复制链接到剪贴板

如果您的安全组规则配置完成后不生效，请您参考排查可能原因，或者联系客服处理。

在配置安全组规则之前，您需要先了解以下信息：

您需要遵循白名单原则添加安全组入方向规则，允许来自外部的特定请求访问安全组内的实例。

针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。

针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

了解更多安全组和安全组规则的配置原则和建议，请参见。

安全组默认拒绝所有来自外部的请求，如果您需要在本地服务器远程连接云服务器上传或者下载文件，那么您需要开通FTP(20、21)端口。

安全组默认拒绝所有来自外部的请求，如果您在云服务器上搭建了可供外部访问的网站，则您需要在安全组入方向添加对应的规则，放通对应的端口，例如HTTP(80)、https(443)。

ICMP协议用于网络消息的控制和传递，因此在进行一些基本测试操作之前，需要开通ICMP协议访问端口。比如，您需要在某台个人PC上使用ping命令来验证云服务器的网络连通性，则您需要在云服务器所在安全组的入方向添加以下规则，放通ICMP端口。

同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sg-A内的云服务器访问安全组sg-B内的MySQL数据库，您需要通过在安全组sg-B中添加一条入方向规则，允许来自安全组sg-A内云服务器的内网请求进入。

如果您通过中间网络实例在不同子网的实例之间转发流量，如中的“控制虚拟IP访问安全组内实例”，子网Subnet-A的ECS通过虚拟IP和子网Subnet-B的ECS互相通信。由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

本示例中源地址提供的配置仅供参考，请您根据实际需求设置源地址。

允许安全组sg-A内云服务器访问MySQL数据库服务。

允许安全组sg-B内云服务器访问Oracle数据库服务。

允许私网IP地址为172.16.3.21的云服务器访问MS SQL数据库服务。

允许私网IP地址属于192.168.0.0/24网段的云服务器访问PostgreSQL数据库服务。

允许私网IP地址属于IP地址组ipGroup-A范围内的云服务器访问Redis数据库服务。

安全组的出方向规则一般默认全部放通，默认规则如所示。如果您需要限制服务器只能访问特定网站，则按照如下要求配置：

允许安全组内云服务器访问指定的外部网站，网站地址为http://132.15.XX.XX:80。

允许安全组内云服务器访问指定的外部网站，网站地址为https://145.117.XX.XX:443。

针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。

针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

在使用文档中是否遇到以下问题

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

提供免费备案服务

云业务全流程支持

华为云微信小程序

华为云微信小程序

增值电信业务经营许可证：B1.B2-20200593 | 域名注册服务机构许可：黔D3-20230001 | 代理域名注册服务机构：新网、西数

上一篇：更改安全组安全组安全管理用户指南弹性云服

下一篇：配置安全组规则安全组安全管理用户指南弹性