VPC安全组

安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。

安全组规则遵循白名单规则，具体说明如下：

入方向规则：入方向指外部访问安全组内的实例的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。

因此，如果没有特殊需求，您一般不用在入方向配置策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。

出方向规则：出方向指安全组内的实例访问外部的指定端口。在出方向中配置目的地址匹配所有IP地址的规则，并且策略为“允许”时，允许所有的内部请求出去。

0.0.0.0/0表示匹配所有IPv4地址。

::/0表示匹配所有IPv6地址。

如下表所示，以安全组sg-AB的入方向和出方向规则为例，为您详细解释安全组的规则。

-默认情况下，一个用户可以创建100个安全组。

-默认情况下，一个云服务器或扩展网卡选择安全组的数量不多于5个。

-云服务器或扩展网卡绑定多个安全组时，安全组规则先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。

-安全组添加实例时，一次最多可添加20个实例。

-一个安全组关联的实例数量不应超过6000个，否则会引起安全组性能下降。

-当您配置安全组规则时，请留意部分安全组规则对安全组关联的云服务器规格类型有要求。安全组规则及其不支持的云服务规格清单请参见下表。

系统会为每个用户创建一个默认安全组，默认安全组规则说明如下：

-出方向报文放行：默认安全组内的实例可以对其他安全组内的实例发起请求，并收到响应。

-入方向报文受限：来自其他安全组内实例的请求会被默认安全组拦截。

默认安全组规则如下表所示：

安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。

创建安全组的时候，系统为您提供了几种常见的安全组模板。安全组模板中预先配置了入方向规则和出方向规则，您可以根据业务选择所需的模板，快速完成安全组的创建。安全组模板的详细说明如下表所示。

1对1咨询专属顾问

1对1免费咨询华为云专属顾问，为您量身定制产品推荐方案

立即咨询

华为云咨询电话：950808或4000-955-988 转1

华为云专业的服务团队，致力于为您提供专业的售前购买咨询服务，及完善的售后技术服务，助您云上无忧

华为云VPC安全组