私有网络

产品文档

私有网络

帮助中心 > 产品文档 > 私有网络 > 主机实例安全组规则配置

主机实例安全组规则配置

场景1:云主机内网间互相访问

场景描述:

同一个地域内,同一个路由器下的云主机可以通过安全组规则设置云服务器之间内网是否互通。

配置建议:

同一个安全组下的云服务器,默认内网互通。不同的安全组下的云服务器,默认内网不通。要实现内网互通,有以下解决办法:

  • 方案 1:可以把云服务器放入到相同的安全组中,就可以满足内网都互通。
  • 方案 2:如果云服务器不在同一个安全组内,两个安全组互相内网授权,在 访问源、 访问目标 中添加对方的 IP 地址即可。

场景2:云主机提供公网服务

场景描述:

绑定了公网IP的云主机可以接受来自公网的访问,也可以主动访问公网。此时可以通过设置安全组规则保证只有特定的IP地址和端口才能与云主机通信。

配置建议:

  • 如果云主机需要提供Web服务,需要开发开放http/https协议使用的80/443端口。
  • 对于运维主机所必须的端口,如22端口和3389端口,我们推荐您只对您需要管理云主机的IP开放安全组。
  • 如果您管理云主机的公网IP地址范围固定:在安全组设置只有您的IP地址可以访问安全组的22端口和3389端口。
  • 如果您管理云主机的公网IP地址范围不固定:允许一定IP端源地址访问远程管理端,具体IP段的范围请根据您所在网络情况确认。如需设置全部地址均可管理云主机,请输入0.0.0.0/0(设置为全部地址均可管理会增大您的安全组风险,请您谨慎使用)

推荐安全组策略(入站规则):

源地址 协议 端口 Action 说明
0.0.0.0/0 tcp 80 接受 允许从任何地方对Web服务器进行入站HTTP访问
0.0.0.0/0 tcp 443 接受 允许从任何地方对Web服务器进行入站HTTPS访问
您的公网IP地址范围 tcp 22 接受 Linux主机允许来自用户网络的SSH远程登录
您的公网IP地址范围 tcp 3389 接受 Windows主机允许来自用户网络的RDP远程登录

您的公网IP地址可以通过如下方式获取:

1.通过IP库进行查询

2.如果通过IP查询出的IP地址存在偏差,可以将源IP范围先配置成0.0.0.0/0。使用您当前的网络访问云主机,并在云主机上通过tcpdump获取源IP地址,之后将该源IP配置到安全组规则中。

场景3:使用SLB负载均衡提供公网服务

场景描述:

负载均衡是对多台云服务器进行流量分发的负载均衡服务。SLB可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。

没有公网IP的云主机实例可以通过公网负载均衡接受来自公网的访问,但不可以主动向公网发起访问。

配置建议:

  • 安全组1为Internet提供Web服务,只对Internet开放http/https端口。
  • 安全组2为安全组1提供应用服务,对安全组1开放应用服务端口。

推荐安全组策略(入站规则)

安全组1:

源地址 协议 端口 Action 备注
0.0.0.0/0 tcp 80 接受 允许从任何地方对Web服务器进行入站HTTP访问
0.0.0.0/0 tcp 443 接受 允许从任何地方对Web服务器进行入站HTTPS访问
SLB系统网段 All -1/-1 接受 允许SLB系统访问安全组1
运维安全组 tcp 22 接受 Linux实例允许来自运维安全组的入站SSH访问
运维安全组 tcp 3389 接受 Windows实例允许来自运维安全组的入站RDP访问

安全组2:

源地址 协议 端口 Action 备注
安全组1 tcp 8080 接受 允许安全组1访问安全组2的应用服务端口
SLB系统网段 All -1/-1 接受 允许SLB系统访问安全组2
运维安全组 tcp 22 接受 Linux实例允许来自运维安全组的入站SSH访问
运维安全组 tcp 3389 接受 Windows实例允许来自运维安全组的入站RDP访问
更新时间:2019-09-12 20:20:46