华为云云耀云服务器L实例安全组配置示例_云淘科技

介绍常见的安全组配置示例。如下示例中,出方向默认全通,仅介绍入方向规则配置方法。

允许外部访问宝塔面板
允许外部访问指定端口
不同安全组内云服务器内网互通
仅允许特定IP地址远程连接云服务器
公网ping云服务器
云服务器作Web服务器
云服务器作DNS服务器
使用FTP上传或下载文件

允许外部访问宝塔面板

场景举例:

使用宝塔面板应用镜像创建云耀云服务器L实例后,为了可以正常访问宝塔面板,请放通8888端口。

宝塔面板的更多安全组规则详见配置安全组。

安全组配置方法:

方向

协议/应用

端口

源地址

入方向

TCP

8888

0.0.0.0/0

允许外部访问指定端口

场景举例:

部署业务之后,为了让指定业务端口(例如:1100)可以被外部访问,您可以添加安全组规则。

安全组配置方法:

方向

协议/应用

端口

源地址

入方向

TCP

1100

0.0.0.0/0

不同安全组内云服务器内网互通

场景举例:

在同一个VPC内,用户需要将某个安全组内一台云服务器上的资源复制到另一个安全组内的云服务器上时,用户可以将两台云服务器设置为内网互通后再复制资源。

安全组配置方法:

同一个VPC内,在同一个安全组内的云服务器默认互通。但是,在不同安全组内的云服务器默认无法通信,此时需要添加安全组规则,使得不同安全组内的云服务器内网互通。

在两台云服务器所在安全组中分别添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通,安全组规则如下所示。

方向

协议/应用

端口

源地址

入方向

TCP

说明:

此处的协议类型设置内网互通时使用的协议类型。

全部

另一个安全组的ID。

例如:014d7278-XXX-530c95350d43

如果同一个安全组内的云服务器也无法互相通信,请您检查是否已删除对应的规则。

如下所示,以安全组sg-demo为例,“源地址”为sg-demo的规则可以实现同一个安全组内云服务通信。

仅允许特定IP地址远程连接云服务器

场景举例:

为了防止云服务器被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到云服务器。

安全组配置方法:

以仅允许特定IP地址(例如,192.168.20.2)通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例,安全组规则如下所示。

方向

协议/应用

端口

源地址

入方向

SSH(22)

22

IPv4 CIDR或者另一个安全组的ID。

例如:192.168.20.2/32

公网ping云服务器

场景举例:

创建云服务器后,为了使用ping程序测试云服务器之间的通讯状况,您需要添加安全组规则。

安全组配置方法:

方向

协议/应用

端口

源地址

入方向

ICMP

全部

0.0.0.0/0

云服务器作Web服务器

场景举例:

如果您在云服务器上部署了网站,即云服务器作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在云服务器所在安全组中添加以下安全组规则。

安全组配置方法:

方向

协议/应用

端口

源地址

入方向

HTTP(80)

80

0.0.0.0/0

入方向

HTTPS(443)

443

0.0.0.0/0

云服务器作DNS服务器

场景举例:

如果您将云服务器设置为DNS服务器,则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要在云服务器所在安全组中添加以下安全组规则。

安全组配置方法:

方向

协议/应用

端口

源地址

入方向

TCP

53

0.0.0.0/0

入方向

UDP

53

0.0.0.0/0

使用FTP上传或下载文件

场景举例:

如果您需要使用FTP软件向云服务器上传或下载文件,您需要添加安全组规则。

您需要在云服务器上先安装FTP服务器程序,再查看20、21端口是否正常工作。安装FTP服务器的操作请参见搭建FTP站点(Windows)、搭建FTP站点(Linux)。

安全组配置方法:

方向

协议/应用

端口

源地址

入方向

TCP

20-21

0.0.0.0/0

多场景组合

在实际的应用场景中,可能需要根据业务需求配置多个安全组规则。弹性云服务器的访问规则先根据绑定安全组的顺序,再根据组内规则的优先级生效,使用多个安全组可能会影响弹性云服务器的网络性能,建议您选择安全组的数量不多于5个。

父主题: 管理安全组

同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)

内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家