安全組是一個邏輯上的分組,這個分組是由同一個地域(region)内具有相同安全保護需求并互相信任的執行個體組成。每個執行個體至少屬于一個安全組,在建立的時候就需要指定。同一安全組内的執行個體之間網絡互通,不同安全組的執行個體之間預設内網不通。可以授權兩個安全組之間互訪。
安全組是一種虛拟防火牆,具備狀态檢測包過濾功能。安全組用于設定單台或多台雲伺服器的網絡通路控制,它是重要的網絡安全隔離手段,用于在雲端劃分安全域。
單個安全組内的執行個體個數不能超過 1000。如果您有超過 1000 個執行個體需要内網互訪,可以将他們配置設定到多個安全組内,并通過互相授權的方式允許互訪。
每個執行個體最多可以加入 5 個安全組。
每個使用者的安全組最多 100 個。
對安全組的調整操作,對使用者的服務連續性沒有影響。
安全組是有狀态的。如果資料包在 outbound 方向是被允許的,那麼對應的此連接配接在 inbound 方向也是允許的。
安全組的網絡類型分為經典網絡和專有網絡。
經典網絡類型的執行個體可以加入同一地域(region)下經典網絡類型的安全組。
專有網絡類型的執行個體可以加入同一專有網絡(vpc)下的安全組。
<a href="https://yq.aliyun.com/articles/70403">雲伺服器ecs安全組實踐(一)</a>
<a href="https://yq.aliyun.com/articles/71050">雲伺服器ecs安全組實踐(二)</a>
<a href="https://yq.aliyun.com/articles/75309">雲伺服器ecs安全組實踐(三)</a>
随着雲伺服器的普及以及對學生優惠的力度,相對于虛拟主機的價格,很多開發者或者學生更傾向于選擇雲伺服器ecs。
虛拟主機已經有完善的配置,你隻需要開通運用即可。但是,雲伺服器就不會那麼輕松了,你需要懂得簡單的伺服器環境配置,如果是linux,你還需要懂得一些linux的運維工作。
新手經常會遇到如下問題:
為什麼通過ssh無法連接配接伺服器?
域名解析了,域名也綁定了(通過控制台登入的),為什麼域名無法通路?
伺服器mysql資料庫安裝成功了,為什麼本地無法連接配接?
總之,很多類似的問題,這裡就不一一舉例了,下面我們就來聊一聊,新購使用者該如何選擇安全組。
截止2017年6月4日,使用者點選購買ecs預設會選擇自定義配置。
計費方式:包年包月
地域:根據服務使用者群體地域選擇即可
網絡:預設是私有網絡,是指邏輯隔離的私有網絡,您可以自定義網絡拓撲和 ip 位址,支援通過專線連接配接,網絡可擴充性強。适合于對網絡有個性化定制及進階定制需求的客戶。
如果你選擇的是專有網絡,可以注意到網絡選項下面有一個安全組的選項,點選下拉會看到預設安全組2(開放22,3389,icmp協定),選擇即可。
如果你選擇的是經典網絡,點選安全組下拉會看到兩個選項,預設安全組1和預設安全組2,建議選擇1并勾選一下選項。
注意
22端口是linux系統下ssh端口,用于遠端連接配接。
3389端口是windows系統用于遠端桌面連接配接的。
如果你先私有網絡,若需要開放其他端口如:80端口(http)、443端口(https),您可以在執行個體建立成功後前往 ecs控制台->安全組->配置規則 裡設定。
好,到目前為止,剩下的選項根據自己的需求,簡單配置一下即可下單了。
購買成功後,安全組位于雲伺服器 ecs-網絡和安全-安全組。
點選配置規則,一下是樓主伺服器的安全組配置:
由于樓主選擇的是經典網絡,對于内網出入方向以及公網出方向大家可以暫且不用考慮(預設為空即可),這裡我們隻需要配置公網入方向就ok。
伺服器隻開放了80以及22端口,對于樓主來着足夠了,當然如果你伺服器安裝可mysql,可以開放3306端口(不建議對外開放)點選右上角新增安全組規則即可。
當然,如果你選擇是專有網絡的話,安全組隻有内網如方向和内網出方向了。
我了解的專有網絡的内網入方向和内網出方向和經典網絡的外網入方向和外網出方向是對等的。由于專有網絡是邏輯隔離的vpc,内網是相對隔離的,當然也就不存在經典網絡的内網出入方向。
以上,隻是自己的一些了解,如有不對之處敬請指正!