安全组是一种分布式的、有状态的包过滤虚拟防火墙,可实现对实例的网络访问控制,从而控制一台或多台实例的访问流量。
创建实例时,可以关联相应的安全组,将同一地域内具有相同网络安全隔离需求的实例加到同一个安全组内。通过配置安全组策略对实例的出入流量进行安全过滤。
新建安全组默认对所有出口/入口流量执行All drop(拒绝)规则;您可以随时添加或删除安全组的规则,新规则会自动应用于与该安全组相关联的所有实例。
您可以在每个区域每个私有网络下创建50个安全组,每个安全组双向最多可添加100条规则,以满足您对网络安全隔离的需求。
每个实例对应的每块网卡必须绑定至少一个安全组,每块网卡最多可与5个安全组绑定,以实现对实例访问流量的精确控制。
目前控制台提供三个默认安全组模板:
安全组 | 网络ACL |
---|---|
有状态 | 无状态 |
在实例(网卡)级别生效 | 在子网级别生效 |
仅支持允许规则 | 支持允许规则和拒绝规则 |
应用到已关联的所有实例上 | 自动应用到子网内的所有实例 |