[云计算小课] 【第五课】云小课带您大话安全组
当您购买弹性云服务器(ECS)时,会让您选择安全组,是不是没咋注意,直接选个默认,棒棒哒~
当您在云上搭建了一个服务器应用,自己玩的很High,想让别人来访问时,发现歇了,别人访问不了,Why?
当您开始在网上找答案,或者咨询客服时,关键词忽然变成了“安全组”“安全组”。
安全组,让我发呆回忆一下。
温馨小提示:
还没有华为云账户来体验本节课程的操作吗?
戳这里,免费注册华为云账户!
有账户没有云服务器?
戳这里,免费试用4核8G高速云服务器!
什么是安全组?
安全组作为华为云网络的标配,就是为了保护您的网络安全的,确切的说是为了保护ECS的。它可以控制进出ECS的网络流量。
网络流量分为出方向和入方向,出方向是指您想访问别人,入方向就是别人想访问你。如果把ECS比作一个家,那安全组就是家里的大门,仅为您想见的人开放。
什么是您想见的人?这个就是访问规则。了解安全组详情
如何创建安全组?
登录华为云管理控制台,选择“网络 > 虚拟私有云 > 安全组”,单击“创建安全组”,就可以创建一个全新的安全组。了解如何创建安全组
当然我们还自带了一个默认的安全组“Sys-default”,您也可以直接使用。了解默认安全组
来试试,戳 这里
什么是安全组规则?
安全组规则作为安全组的核心,是必杀绝技,通过它实现出入网流量的控制。让我们先一睹它的芳容。
甭管是系统自带的安全组,还是您新建的安全组,都自带默认规则。
安全组的默认规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的ECS无需添加规则即可互相访问,同时华为云还默认放通了Linux系统远程连接的SSH 22端口、Windows系统远程连接的RDP 3389端口的入方向访问。要不要这么贴心^_^
如何添加安全组规则?
当默认规则不能满足您的需要,您可以在安全组详情页的入方向规则和出方向规则页签下面,单击“添加规则”,添加安全组规则。
我们还提供了常用协议端口的快速添加,单击“快速添加规则”,即可快速添加安全组规则。
知识拓展:
如何将ECS加入到安全组?
除了在购买ECS的时候,可以直接加入安全组,其他时候我怎么将ECS加入到安全组,受到安全组的保护呢?
在安全组的详情页的关联实例页签,单击“添加”,添加ECS到安全组。了解实例加入/移出安全组
知识拓展:
-
单击“移出”,可以将ECS从安全组中移出。ECS移出后,可以加入到其他的安全组,即完成了ECS所属安全组的更换。支持批量操作。
-
安全组支持的实例,除了ECS,还有裸金属服务器和扩展网卡。您可以根据需要设置。
如何验证安全组生效?
当您添加了规则,也关联了ECS,接下来就是我设置的规则是否生效,如何验证呢?
假设您在ECS上部署了网站,希望用户能通过HTTP(80端口)访问到您的网站,您添加了一条入方向规则,如下表所示。
Linux ECS
Linux ECS上验证该安全组规则是否生效的步骤如下所示。
-
登录ECS。
-
运行如下命令查看TCP 80端口是否被监听。
netstat -an | grep 80
如果返回结果如下图所示,说明TCP 80端口已开通。
-
在浏览器地址栏里输入“http://ECS的弹性公网IP地址”。
如果访问成功,说明安全组规则已经生效。
Windows ECS
Windows ECS上验证该安全组规则是否生效的步骤如下所示。
-
登录ECS。
-
选择“开始 > 附件 > 命令提示符”。
-
运行如下命令查看TCP 80端口是否被监听。
netstat -an | findstr 80
如果返回结果如下图所示,说明TCP 80端口已开通。
-
在浏览器地址栏里输入“http://ECS的弹性公网IP地址”。
如果访问成功,说明安全组规则已经生效。
知识拓展:
弹性公网IP(Elastic IP)提供独立的公网IP资源,可以申请弹性公网IP并将弹性公网IP绑定到ECS上,实现ECS访问公网的目的。了解如何申请弹性公网IP
如何更换ECS的安全组?
当您想更换ECS所属的安全组时,除了在安全组详情页面的“关联实例”可以修改外,还可以在ECS的详情页面,单击“更换安全组”,完成安全组的变更。变更后,ECS将受新的安全组的保护。如果是单个的更改,小编更愿意在这里改。当然要批量修改的话,请移步安全组详情页面进行,更方便。
安全组应用实战
小编整理了您常用的安全组配置示例,如下,无偿奉上,请笑纳。
-
不同安全组内的弹性云服务器内网互通。
在同一个VPC内,用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时, 用户可以将两台弹性云服务器设置为内网互通后再拷贝资源。
安全组配置请参见不同安全组内的弹性云服务器内网互通。
-
仅允许特定 IP 地址远程连接弹性云服务器
为了防止弹性云服务器被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到弹性云服务器。
安全组配置请参见仅允许特定 IP 地址远程连接弹性云服务器。
-
SSH远程连接Linux弹性云服务器
创建好Linux弹性云服务器后,为了通过SSH远程连接到弹性云服务器,您可以添加安全组规则。
安全组配置请参见SSH远程连接Linux弹性云服务器。
-
RDP远程连接Windows弹性云服务器
创建好Windows弹性云服务器后,为了通过RDP远程连接弹性云服务器,您可以添加安全组规则。
安全组配置请参见RDP远程连接Windows弹性云服务器。
-
公网ping ECS弹性云服务器
创建好弹性云服务器后,为了使用ping程序测试弹性云服务器之间的通讯状况,您需要添加安全组规则。
安全组配置请参见公网ping ECS弹性云服务器。
-
弹性云服务器作Web服务器
如果您在弹性云服务器上部署了网站,即弹性云服务器作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在弹性云服务器所在安全组中添加以下安全组规则。
安全组配置请参见弹性云服务器作Web服务器。
-
弹性云服务器作DNS服务器
如果您将弹性云服务器设置为DNS服务器,则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要在弹性云服务器所在安全组中添加以下安全组规则。
安全组配置请参见弹性云服务器作DNS服务器。
-
使用FTP上传或下载文件
如果您需要使用FTP软件向弹性云服务器上传或下载文件,您需要添加安全组规则。
安全组配置请参见使用FTP上传或下载文件。
【以文会友,以友辅仁】
华为云帮助中心正式开源啦。文档协同编辑,共建优质帮助体系!
-
VPC资料开源地址:虚拟私有云帮助文档开源地址
-
更多资料开源地址:华为云帮助文档开源地址
-
单击了解:如何编辑开源文档?