安全组规则

安全组规则可控制允许到达与安全组相关联的实例的入站流量以及允许离开实例的出站流量。

安全组规则内容

• 类型：常用应用类型，例如SSH、PING 或HTTP 等，也可选择自定义TCP或UDP。

• 协议：根据应用类型选择，显示所属协议类型。

• 目标端口：

  • 若配置入站规则，目标端口指安全组内实例端口；若配置出站规则，目标端口指远端端口。
  • 端口取值1-65535，可填写单一端口如“22”或端口范围如“20-22”。
  • 如您在规则类型中选择常用应用，目标端口会直接显示为对应默认端口，不需要设置；如您选择自定义TCP/自定义UDP，可自定义端口范围。

• 源/目的IP：允许访问/被访问的IP地址或地址段（CIDR），IPv4地址，如填写0.0.0.0/0表示允许所有IP地址访问；Ipv6地址，如填写::/0表示允许所有IP地址访问。

• 策略：允许（默认且不允许修改）。

• 备注：标识规则用途，最多可输入256字符。

安全组规则限制

• 用户自行创建的安全组默认具备以下规则
  • 入方向：拒绝所有流量
  • 出方向：由于内部服务需要，开放TCP 80端口及UDP 67、68、161端口，其余流量均拒绝
• 安全组规则策略始终是“允许”；您无法创建“拒绝”访问的规则。
• 安全组是有状态的：如果您配置出站规则允许实例向外部发送一个请求，则无论入站安全组规则如何，都将允许该请求的响应流量流入，反之亦然。
• 您可以随时添加和删除规则。新的安全组策略会自动应用于与安全组相关联的实例。

安全组优先级

安全组无优先级，当一个实例关联多个安全组联时，将对每个安全组的规则进行聚合生效，根据聚合后的规则确定是否允许访问。

安全组使用限制

• 安全组适用于私有网络环境下的实例； 　　
• 您可以在每个区域每个私有网络下创建50个安全组，每个安全组双向最多可添加100条规则；
• 每个实例单块网卡可同时关联5个安全组；