7.1.1 添加安全组规则
操作场景
安全组的默认规则是在出方向上的数据报文全部放行,安全组内的裸金属服务器无需 添加规则即可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当裸 金属服务器加入该安全组后,即受到这些访问规则的保护。
说明
在创建裸金属服务器时只能添加一个安全组。裸金属服务器创建完成后,可以在详情页面修改每 个网卡对应的安全组。
使用建议
● 为BMS实例添加安全组规则时遵循最小授权原则。例如:
– 选择开放具体的端口,而不是端口范围,如80端口。
– 谨慎授权0.0.0.0/0(全网段)源地址。
● 不建议使用一个安全组管理所有应用,不同的分层一定有不同的隔离诉求。
● 不建议为每台BMS实例单独设置一个安全组,您可以将具有相同安全保护需求的 实例加入同一个安全组。
● 建议您设置简洁的安全组规则。例如,如果您给一台BMS实例分配了多个安全 组,该实例可能会同时遵循数百条安全组规则,任何一个规则变更都可能引起网 络不通的故障。
操作步骤
1. 登录管理控制台。
2. 选择“计算 > 裸金属服务器”。
进入裸金属服务器页面。
3. 在裸金属服务器列表,单击待变更安全组规则的裸金属服务器名称。
协议 网络协议,取值范围为:TCP、UDP、
ICMP、HTTP等等。 TCP
端口 规则的端口或端口范围,取值范围为:0~
65535。 22或22-30
源地址 流量的源(入站规则),当方向为入方向
协议 方向 端口范围/ICMP协
者ICMP协议类型 IPv4地址、IPv4 CIDR或者另一个
SSH(22) 入方向 22 IPv4地址、IPv4 CIDR或者另一个 安全组的ID。
例如:192.168.20.2
案例三:SSH 远程连接 Linux 裸金属服务器
SSH(22) 入方向 22 0.0.0.0/0
案例四:RDP 远程连接 Windows 裸金属服务器
● 安全组配置方法
协议 方向 端口范围 源地址
RDP(3389) 入方向 3389 0.0.0.0/0
案例五:公网 ping 裸金属服务器
● 场景举例
裸金属服务器创建完成后,为了使用ping程序测试裸金属服务器之间的通讯状 况,您需要添加安全组规则。
● 安全组配置方法
协议 方向 端口范围 源地址
ICMP 入方向 All 0.0.0.0/0
7.1.3 更改安全组
操作场景
当裸金属服务器的网卡需要变更所属安全组,或者需要为裸金属服务器关联多个安全 组时,可以参考下面步骤。
说明
当裸金属服务器关联多个安全组时,访问规则遵循几个安全组规则的并集。
操作步骤
1. 登录管理控制台。
2. 选择“计算 > 裸金属服务器”。
进入裸金属服务器页面。
3. 单击待设置安全组的裸金属服务器的名称。
系统跳转至该裸金属服务器的详情页面。
4. 选择“安全组”页签,并单击“更改安全组”。
5. 在弹出的“更改安全组”对话框中,选择指定的安全组,单击“确定”。
图7-1 更改安全组
如果需要为裸金属服务器关联多个安全组,勾选多个安全组即可。
执行结果
返回裸金属服务器详情页面,单击“安全组”页签,查看列表中的安全组已变更,或 者数量已增加。