云服务器内容精选

  • 结果验证 安全组规则配置完成后,需要验证对应的规则是否生效。假设您在云耀云服务器上部署了网站,希望用户能通过HTTP(80端口)访问到您的网站,您添加了一条入方向规则,如表3所示。 表3 安全组规则 方向 协议/应用 端口 源地址 入方向 TCP 80 0.0.0.0/0 Linux云耀云服务器 Linux云耀云服务器上验证该安全组规则是否生效的步骤如下所示。 登录云耀云服务器。 运行如下命令查看TCP 80端口是否被监听。 netstat -an | grep 80 如果返回结果如图3所示,说明TCP 80端口已开通。 图3 Linux TCP 80端口验证结果 在浏览器地址栏里输入“http://云耀云服务器的弹性公网IP地址”。 如果访问成功,说明安全组规则已经生效。
  • 删除常用安全组规则的影响 在“入方向规则”和“出方向规则”页签,您也可以对已有的规则进行修改、复制或删除。 删除安全组规则会导致部分功能无法使用: 删除TCP(20-21)规则会导致无法通过FTP协议向云服务器上传或下载文件。 删除ICMP规则会导致使用Ping程序测试云服务器无法连通。 删除TCP(443)规则会导致无法使用HTTPS协议访问网站。 删除TCP(80)规则会导致无法使用HTTP协议访问网站。 删除TCP(22)规则会导致无法通过SSH协议远程连接到Linux操作系统云服务器。 删除TCP(3389)规则会导致无法通过RDP协议远程连接Windows操作系统云服务器。
  • 安全组模板说明 创建安全组的时候,系统为您提供了几种常见的安全组模板。安全组模板中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的模板,快速完成安全组的创建。安全组模板的详细说明如表1所示。 表1 安全组模板说明 模板名称 规则类别 类型和协议端口 源地址/目的地址 规则用途 模板适用场景 通用Web服务器 入方向规则 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的SSH(22)端口,用于远程登录Linux云服务器。 远程登录云服务器 在云服务器内使用ping命令测试网络连通性 云服务器用作Web服务器对外提供网站访问服务 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的RDP(3389)端口,用于远程登录Windows云服务器。 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的HTTP(80)端口,用于通过HTTP协议访问网站。 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的HTTPS(443)端口,用于通过HTTPS协议访问网站。 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议,允许外部所有IP访问安全组内云服务器的所有端口,用于通过ping命令测试云服务器的网络连通性。 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议,允许本安全组内云服务器的请求进入,即该条规则确保安全组内的云服务器网络互通。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议,允许安全组内的云服务器可访问外部IP的所有端口。 开放全部端口 入方向规则 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议,允许本安全组内云服务器的请求进入,即该条规则确保安全组内的云服务器网络互通。 开放安全组内云服务器所有端口,此操作存在一定安全风险,请您谨慎选择。 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议,允许外部所有IP访问安全组内云服务器的所有端口。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议,允许安全组内的云服务器可访问外部IP的所有端口。 快速添加规则 入方向规则 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议,允许本安全组内云服务器的请求进入,即该条规则确保安全组内的云服务器网络互通。 您可以勾选常见协议端口,在入方向快速添加规则放通对应的协议及端口。 若您未勾选任何协议端口,则不会放通任何端口。请在安全组创建完成后,参考添加安全组规则自行添加所需的规则。 自定义选择的端口和协议 0.0.0.0/0 针对TCP或者ICMP协议,允许外部所有IP访问安全组内云服务器的指定端口,用于实现不同的用途。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议,允允许安全组内的云服务器可访问外部任意IP和端口。
  • 操作场景 安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成。您可以参考以下章节添加安全组规则,用来控制流入/流出安全组内实例(如E CS )的流量。 您在创建实例时(如ECS),必须将实例加入一个安全组,如果此前您还未创建任何安全组,那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组,您还可以参考以下操作创建自定义安全组并配置安全组规则实现特定业务访问需求。了解安全组的更多信息,请参见安全组和安全组规则。
  • 使用须知 配置安全组规则前,您需要规划好安全组内实例的访问策略,常见安全组规则配置案例请参见安全组配置示例。 安全组的规则数量有限制,请您尽量保持安全组内规则的简洁,详细约束请参见安全组的限制。 在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效,具体请参见检查安全组规则是否生效。 通常情况下,同一个安全组内的实例默认网络互通。当同一个安全组内实例网络不通时,可能情况如下: 当实例属于同一个VPC时,请您检查入方向规则中,是否删除了同一个安全组内实例互通对应的规则,规则详情如表1所示。 表1 安全组内实例互通规则 方向 优先级 策略 类型 协议端口 源地址/目的地址 入方向 1 允许 IPv4 全部 源地址:当前安全组(Sg-A) 入方向 1 允许 IPv6 全部 源地址:当前安全组(Sg-A) 不同VPC的网络不通,所以当实例属于同一个安全组,但属于不同VPC时,网络不通。 您可以通过VPC对等连接连通不同区域的VPC。
  • 删除常用安全组规则的影响 在“入方向规则”和“出方向规则”页签,您也可以对已有的规则进行修改、复制或删除。 删除安全组规则会导致部分功能无法使用: 删除TCP(20-21)规则会导致无法通过FTP协议向云服务器上传或下载文件。 删除ICMP规则会导致使用Ping程序测试云服务器无法连通。 删除TCP(443)规则会导致无法使用HTTPS协议访问网站。 删除TCP(80)规则会导致无法使用HTTP协议访问网站。 删除TCP(22)规则会导致无法通过SSH协议远程连接到Linux操作系统云服务器。 删除TCP(3389)规则会导致无法通过RDP协议远程连接Windows操作系统云服务器。
  • 背景知识 安全组是一个逻辑上的分组,为同一个VPC内的云服务器提供访问策略。用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。 系统为每个网卡默认创建一个默认安全组,默认安全组的规则是对出方向上的数据报文全部放行,入方向访问受限。您可以使用默认安全组,也可以根据需要创建自定义的安全组。 更多关于安全组的信息,请参阅安全组文档。 安全组需在网络互通的情况下生效。若实例属于不同VPC,但同属于一个安全组,则此安全组不生效,您可以使用对等连接等产品建立VPC连接互通。VPC连接请参见VPC连接。
  • 修改安全组 登录云耀云服务器 L实例 控制台。 在“云耀云服务器L实例”列表中单击云耀云服务器L实例卡片,进入资源页面。 在左侧列表中单击“云耀云服务器L实例”,单击云服务器名称,进入云服务器详情页面。 单击左上角“更改安全组”。 或者选择“安全组”页签,在“基本信息”区域中单击“更改安全组”。 根据界面提示,在列表中选择安全组。 您可以同时勾选多个安全组,此时,云服务器的访问规则遵循几个安全组规则的并集。 如需创建新的安全组,请单击“新建安全组”。详细操作请参见创建安全组。 使用多个安全组可能会影响云服务器的网络性能,建议您选择安全组的数量不多于5个。 单击“确定”,完成更改安全组的操作。
  • 仅允许特定IP地址远程连接云服务器 场景举例: 为了防止云服务器被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到云服务器。 安全组配置方法: 以仅允许特定IP地址(例如,192.168.20.2)通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例,安全组规则如下所示。 方向 协议/应用 端口 源地址 入方向 SSH(22) 22 IPv4 CIDR或者另一个安全组的ID。 例如:192.168.20.2/32
  • 不同安全组内云服务器内网互通 场景举例: 在同一个VPC内,用户需要将某个安全组内一台云服务器上的资源复制到另一个安全组内的云服务器上时,用户可以将两台云服务器设置为内网互通后再复制资源。 安全组配置方法: 同一个VPC内,在同一个安全组内的云服务器默认互通。但是,在不同安全组内的云服务器默认无法通信,此时需要添加安全组规则,使得不同安全组内的云服务器内网互通。 在两台云服务器所在安全组中分别添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通,安全组规则如下所示。 方向 协议/应用 端口 源地址 入方向 TCP 说明: 此处的协议类型设置内网互通时使用的协议类型。 全部 另一个安全组的ID。 例如:014d7278-XXX-530c95350d43 如果同一个安全组内的云服务器也无法互相通信,请您检查是否已删除对应的规则。 如下所示,以安全组sg-demo为例,“源地址”为sg-demo的规则可以实现同一个安全组内云服务通信。