云主机

产品文档

云主机

使用场景

场景1:实例内网间互相访问

场景描述

同一地域同一VPC下的实例可以通过安全组规则设置实例之间内网互访。

配置建议

相同地域相同VPC下的实例是否可以互访取决于所在安全组的规则配置,即使两台实例加入同一个安全组内,如果没由对应允许规则,也是无法互相访问的。

无论两台主机是否隶属于同一个安全组中,都需要配置两条入站规则,类型为ALL Traffic,源IP分别为两台主机的内网IP。

场景2:实例提供公网服务

场景描述

绑定了公网IP的实例提供公网访问服务,也可以主动访问公网,同时需要允许管理员远程管理主机。此时可以通过设置安全组规则保证只有特定的IP地址和端口才能与实例通信。

配置建议

  • 如果实例需要提供Web服务,需要开放https/https协议使用的80/443端口。
  • 对于管理实例所必须的端口,如22端口和3389端口,我们推荐您只对您需要管理实例的IP开放访问权限。
  • 如果您管理实例的公网IP地址范围固定:在安全组设置只有您的IP地址可以访问安全组的22端口和3389端口。
  • 如果您管理实例的公网IP地址范围不固定:可以允许指定IP网段的地址访问实例,具体IP段的范围请根据您所在网络情况确认。如需设置全部地址均可管理实例,请输入0.0.0.0/0(设置为全部地址均可管理会增大您的安全组风险,请您谨慎使用)
协议类型 目标端口 源IP 策略 说明
HTTP 80 0.0.0.0/0 接受 允许从任何地方对Web服务器进行入站HTTP访问
HTTPS 443 0.0.0.0/0 接受 允许从任何地方对Web服务器进行入站HTTPS访问
SSH 22 您的公网IP地址范围 接受 Linux实例允许来自用户网络的SSH远程登录
自定义TCP 3389 您的公网IP地址范围 接受 Windows实例允许来自用户网络的RDP远程登录

您的公网IP地址可以通过如下方式获取:

  1. 通过IP库进行查询。
  2. 如果通过IP查询出的IP地址存在偏差,可以将源IP范围先配置成0.0.0.0/0。使用您当前的网络访问实例,并在实例上通过tcpdump获取源IP地址,之后将该源IP配置到安全组规则中。

场景3:使用负载均衡提供公网服务

场景描述

负载均衡是对多台实例进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 没有公网IP的实例实例可以通过公网负载均衡接受来自公网的访问,但不可以主动向公网发起访问。

配置建议

  • 安全组1为Internet提供Web服务,只对Internet开放https/https端口。
  • 安全组2为安全组1提供应用服务,对安全组1开放应用服务端口。

安全组1:

协议类型 目标端口 源IP 策略 说明
HTTP 80 0.0.0.0/0 接受 允许从任何地方对Web服务器进行入站HTTP访问
HTTPS 443 0.0.0.0/0 接受 允许从任何地方对Web服务器进行入站HTTPS访问
SSH 22 运维IP地址或网段 接受 Linux实例允许来自运维安全组的入站SSH访问
自定义TCP 3389 运维IP地址或网段 接受 Windows实例允许来自用户网络的RDP远程登录
ALL Traffic 1-65535 负载均衡系统网段 接受 允许SLB系统访问安全组1

安全组2:

协议类型 目标端口 源IP 策略 说明
自定义TCP 8080 安全组1内实例的IP地址或网段 接受 允许安全组1访问安全组2的应用服务端口
SSH 22 运维IP地址或网段 接受 Linux实例允许来自运维安全组的入站SSH访问
自定义TCP 3389 运维IP地址或网段 接受 Windows实例允许来自用户网络的RDP远程登录
ALL Traffic 1-65535 负载均衡系统网段 接受 允许SLB系统访问安全组2
更新时间:2019-05-29 15:38:56