添加安全组规则

如果您的实例关联的安全组策略无法满足使用需求，比如需要新开放某个TCP端口，请 参考本章节添加入方向规则，打开指定的TCP端口。

● 入方向：指从外部访问安全组规则下的实例。

● 出方向：指安全组规则下的实例访问安全组外的实例。

默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组 配置示例。

前提条件

● 已有创建的安全组。创建安全组请参见创建安全组。

● 已规划好云服务器等实例需要允许或禁止哪些公网或内网的访问。更多有关安全 组规则设置的应用示例，请参见安全组配置示例。

操作步骤

1. 登录管理控制台。

2. 在管理控制台左上角单击 ，选择区域和项目。

3. 在系统首页，选择“网络 > 虚拟私有云”。

4. 在左侧导航树选择“访问控制 > 安全组”。

5. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。

6. 在入方向规则页签，单击“添加规则”，添加入方向规则。

单击“+”可以依次增加多条入方向规则。

图2-4 添加入方向规则

表2-4 入方向参数说明

参数 说明 取值样例

优先级 安全组规则优先级。

优先级可选范围为1-100，默认值为1，即最高优先 级。优先级数字越小，规则优先级级别越高。

1

策略 安全组规则策略。

优先级相同的情况下，拒绝策略优先于允许策略。

允许

参数 说明 取值样例 协议端

口 网络协议。目前支持“All”、“TCP”、“UDP”、

“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问弹性云服务器指定端口，取

值范围为：1～65535。常用端口请参见弹性云服务器 常用端口。

端口填写包括以下形式：

● 单个端口：例如22

● 连续端口：例如22-30

● 多个端口：例如22,23-30，一次最多支持20个不连 续端口组， 端口组之间不能重复。

● 全部端口：为空或1-65535

22或22-30 或20,22-30

类型 IP地址类型。开通IPv6功能后可见。

● IPv4

● IPv6

IPv4

源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通 来自IP地址或另一安全组内的实例的访问。例如：

● 单个IP地址：192.168.10.10/32（IPv4地址）；

2002:50::44/127（IPv6地址）

● IP地址段：192.168.1.0/24（IPv4地址段）；

2407:c080:802:469::/64（IPv6地址段）

● 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0

（IPv6任意地址）

● 安全组：sg-abc

● IP地址组：ipGroup-test

若源地址为安全组，则选定安全组内的云服务器都遵 从当前所创建的规则。

更多IP地址组信息，请参见IP地址组。

0.0.0.0/0

描述 安全组规则的描述信息，非必填项。

描述信息内容不能超过255个字符，且不能包含“<”

和“>”。

-7. 在出方向规则页签，单击“添加规则”，添加出方向规则。

单击“+”可以依次增加多条出方向规则。

图2-5 添加出方向规则

表2-5 出方向参数说明

参数 说明 取值样例

优先级 安全组规则优先级。

优先级可选范围为1-100，默认值为1，即最高优先 级。优先级数字越小，规则优先级级别越高。

1

策略 安全组规则策略。

● 允许：允许安全组内的服务器按照该出方向规则进 行出网访问

● 拒绝：拒绝安全组内的服务器按照该出方向规则进 行出网访问。

优先级相同的情况下，拒绝策略优先于允许策略。

允许

协议端

口 网络协议。目前支持“All”、“TCP”、“UDP”、

“ICMP”和“GRE”等协议。 TCP 端口：允许弹性云服务器访问远端地址的指定端口，

取值范围为：1～65535。常用端口请参见弹性云服务 器常用端口。

端口填写包括以下形式：

● 单个端口：例如22

● 连续端口：例如22-30

● 多个端口：例如22,23-30，一次最多支持20个不连 续端口组， 端口组之间不能重复。

● 全部端口：为空或1-65535

22或22-30 或20,22-30

类型 IP地址类型。开通IPv6功能后可见。

● IPv4

● IPv6

IPv4

参数 说明 取值样例 目的地

址 目的地址：可以是IP地址、安全组、IP地址组。允许访 问目的IP地址或另一安全组内的实例。例如：

● 单个IP地址：192.168.10.10/32（IPv4地址）；

2002:50::44/127（IPv6地址）

● IP地址段：192.168.1.0/24（IPv4地址段）；

2407:c080:802:469::/64（IPv6地址段）

● 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0

（IPv6任意地址）

● 安全组：sg-abc

● IP地址组：ipGroup-test

更多IP地址组信息，请参见IP地址组。

0.0.0.0/0

描述 安全组规则的描述信息，非必填项。

描述信息内容不能超过255个字符，且不能包含“<”

和“>”。

-8. 单击“确定”。

结果验证

安全组规则配置完成后，我们需要验证对应的规则是否生效。假设您在弹性云服务器 上部署了网站，希望用户能通过TCP（80端口）访问到您的网站，您添加了一条入方 向规则，如表2-6所示。

表2-6 安全组规则

方向 协议/应用 端口 源地址

入方向 TCP 80 0.0.0.0/0

Linux弹性云服务器

Linux弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

1. 登录弹性云服务器。

2. 运行如下命令查看TCP 80端口是否被监听。

netstat -an | grep 80

如果返回结果如图2-6所示，说明TCP 80端口已开通。

图2-6 Linux TCP 80 端口验证结果

3. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

如果访问成功，说明安全组规则已经生效。

Windows弹性云服务器

Windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

1. 登录弹性云服务器。

2. 选择“开始 > 附件 > 命令提示符”。

3. 运行如下命令查看TCP 80端口是否被监听。

netstat -an | findstr 80

如果返回结果如图2-7所示，说明TCP 80端口已开通。

图2-7 Windows TCP 80 端口验证结果

4. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

如果访问成功，说明安全组规则已经生效。

相关操作

一键放通

一键放通功能适用于无需设置ICMP协议规则，并通过22，3389，ICMP，80，443，

20，21端口便能完成操作的场景。

图2-8 一键放通

安全组规则相关常见问题

● 安全组规则除描述字段外，其他字段均相同，是否算作相同的安全组规则？

● 多通道协议相关的安全组配置方式是什么？

在文檔中 创建不同帐户下的对等连接_虚拟私有云 VPC_用户指南_VPC对等连接_华为云 (頁 46-51)