私有网络

产品文档

私有网络

安全组配置

本文将详细介绍安全组的相关配置,具体包括如下操作:

前提条件及限制

  • 确保您已经注册京东云账号,并实现实名认证
  • 已创建好一个私有网络(VPC),且私有网络下有足够安全组配额;
  • 单个私有网络下最多可以创建50个安全组;
  • 每个资源最多支持同时绑定5个安全组。

创建安全组

步骤1:登录京东云控制台,选择 弹性计算 ->【云主机】->【安全组】页面(或者 弹性计算->【容器服务】-> 【安全组】,该指南以云主机为例);

步骤2:点击【创建】按钮,弹出创建安全组弹框;

步骤3:首先选择安全组所在的地域和私有网络,安全组只能应用在同一个私有网络下的云主机/容器实例。您可以为当前已创建的私有网络新建安全组,也可以点击“新建私有网络“按钮,跳转到新建私有网络页面,创建新的私有网络;

步骤4:输入安全组名称及描述,描述用于对安全组规则的额外说明,如“开放了入口方向80、443端口和出口方向的”;建议您用安全组的使用场景或功能作为安全组的名称,如“Web服务器集群开放80端口”。

注:

  1. 新建安全组为自定义安全组,自定义安全组默认拒绝所有入口、出口流量;
  2. 随VPC创建的安全组为默认安全组,支持三类默认安全组:
  • Linux安全组开放22端口 :仅暴露 SSH 登录的 TCP 22端口到公网,内网端口全通;
  • Windows 安全组开放3389端口:仅暴露 MSTSC 登录的TCP 3389端口到公网,内网端口全通;
  • 默认安全组开放全部端口:暴露全部端口到公网和内网,有一定安全风险,请慎重选择。

批量绑定云资源

步骤1:登录京东云控制台,选择 弹性计算 -> 【云主机】 -> 【安全组】 页面(或者 弹性计算 -> 【容器服务】 -> 安全组,该指南以云主机为例),进入控制台安全组列表页;

步骤2:选择【绑定资源】按钮,弹出绑定资源弹窗;或者点击安全组名称进入安全组详情页,选择资源tab,如【云主机】Tab页,点击【添加】按钮,弹出绑定资源的弹窗;

步骤3:在弹窗中,选择需要绑定资源类型tab,支持绑定安全组所属私有网络下所有的云主机、容器、pod、弹性网卡资源,选择需要绑定该安全组的资源,可选择单个或多个,批量绑定资源的数量上限为50个;

注:云主机、容器、pod的生命周期有不同的状态,安全组仅支持绑定部分稳定状态下的资源,部分稳定状态及中间状态不支持绑定安全组,具体如下表:

资源类型 状态
云主机 运行中、已停止
容器 运行、停止
Pod 运行、停止、成功、失败

步骤4:点击【确定】按钮,完成资源绑定安全组。

注:更改安全组出入方向规则后,立即生效,但不影响更改规则前已建立的连接,如需在已建立的连接上生效,需手动断开已建立连接。

批量解绑云资源

步骤1:登录京东云控制台,选择 弹性计算 -> 【云主机】 -> 【安全组】 页面(或者 弹性计算 -> 【容器服务】 -> 安全组,该指南以云主机为例),进入控制台安全组列表页;

步骤2:在安全组列表页中,定位需要解绑云资源的安全组,点击安全组名称进入详情页;

步骤3:选择解绑资源类型tab,如云主机Tab页,进入该安全组所绑定的云主机列表页;

步骤4:定位需要解绑的云资源,点击操作列下的【解绑】按钮即可将对应的云资源从当前安全组中解绑。也可选择一批资源,点击【批量解绑】实现解绑操作,批量操作数量上限为50个。

注:当云资源仅绑定一个安全组时,不支持解绑,如需解绑当前安全组,需先绑定其他安全组。

管理安全组规则

添加出/入站规则

出站规则用于过滤云主机访问互联网或其他云主机的网络流量,设置方式如下:

步骤1:登录京东云控制台,选择 弹性计算 -> 【云主机】 -> 【安全组】 页面(或者 弹性计算 -> 【容器服务】 -> 安全组,该指南以云主机为例),进入控制台安全组列表页;

步骤2:在安全组列表页中,定位需要添加规则的安全组,点击安全组名称进入详情页;

步骤3:定位需要添加的规则类型,选择出站规则或入站规则,进入对应规则的tab页,点击【编辑规则】按钮;

步骤4:点击【添加新规则】按钮添加规则,根据需求添加信息,相关配置项说明如下:

属性 说明 示例
类型 常用的协议类型,包括自定义TCP、自定义UDP、ICMP 自定义TCP、ICMP等
协议 根据应用类型选择,显示所属协议类型 ssh、TCP
目标端口 安全组作用的云主机端口或端口范围,取值1-65535 如“22”或端口范围如“20-22”
源IP 入站规则独有属性,允许访问的IP地址段(CIDR),当协议类型仅支持IPv4地址(如ICMP协议)或仅支持IPv6地址(如ICMPv6协议)时,请输入对应正确格式的地址 10.0.0.1/32,0::/0
目的IP 出站规则独有属性,允许被访问的IP地址(CIDR) 10.0.0.1/32,0::/0
策略 允许或拒绝安全组规则,新增规则默认为“允许”,暂不支持新增“拒绝”策略的安全组规则 允许
备注 标识规则用途等 属于A业务
创建时间 创建安全组规则的时间 2021-11-22

步骤5:点击【保存】,进入二次确认弹窗,如无问题点击【确认】按钮。

克隆安全组规则

步骤1:登录京东云控制台,选择 弹性计算 -> 【云主机】 -> 【安全组】 页面(或者 弹性计算 -> 【容器服务】 -> 安全组,该指南以云主机为例),进入控制台安全组列表页;

步骤2:在安全组列表页中,定位需要添加规则的安全组,点击安全组名称进入详情页;

步骤3:定位需要添加的规则类型,选择出站规则或入站规则,进入对应规则的tab页,点击【编辑规则】按钮;

步骤4:定位需要克隆的安全组规则,在操作列选择【克隆】即可克隆当前规则,克隆后规则置于被克隆规则后第一条。

注:安全组暂不支持拒绝规则,拒绝规则不支持克隆。

修改安全组规则

步骤1:登录京东云控制台,选择 弹性计算 -> 【云主机】 -> 【安全组】 页面(或者 弹性计算 -> 【容器服务】 -> 安全组,该指南以云主机为例),进入控制台安全组列表页;

步骤2:在安全组列表页中,定位需要修改规则的安全组,点击安全组名称进入详情页;

步骤3:定位需要修改的规则类型,点击对应的tab页,点击【编辑规则】按钮;

步骤4:定位需要修改的安全组规则,修改信息;

步骤5:完成规则修改后,点击页面上方的【保存】按钮后,进入二次确认弹窗,如无问题点击【确认】按钮。

注:

  1. 更改安全组规则不影响已建立的连接,如删除的规则需要对已建立的连接生效,删除规则后,需手动断开连接,再次连接时安全组规则将会生效
  2. 安全组是有状态的,如您配置了相应的规则,允许出方向规则,则无论入口安全组规则如何,都将允许该请求的响应流量流出。

克隆安全组

步骤1:登录京东云控制台,选择 弹性计算 -> 【云主机】 -> 【安全组】 页面(或者 弹性计算 -> 【容器服务】 -> 安全组,该指南以云主机为例),进入控制台安全组列表页;

步骤2:在安全组列表页中,定位需要修改规则的安全组,点击操作列【克隆】按钮,进入创建安全组弹窗;

步骤3:输入克隆后的安全组名称,点击【确定】按钮即完成克隆操作。

注:克隆安全组仅克隆原安全组的安全组规则,不克隆安全组绑定的资源,需自行绑定相关资源。

删除安全组

步骤1:登录京东云控制台,选择 弹性计算 -> 【云主机】 -> 【安全组】 页面(或者 弹性计算 -> 【容器服务】 -> 安全组,该指南以云主机为例),进入安全组列表页;

步骤2:定位需要删除的安全组,在操作列点击【更多】,选择【删除】,弹窗确认;

步骤3:点击【确认】按钮,完成删除安全组操作。

注:当安全组为绑定任一云资源时,支持删除安全组。

相关参考

更新时间:2021-10-13 14:30:30
文档反馈 docs feedback