Когда вы создаёте инстансы, такие как облачные серверы, контейнеры и базы данных, в подсети VPC, вы можете использовать группу безопасности по умолчанию или создать группу безопасности. Вы можете добавить правила входящего и исходящего трафика в группу безопасности по умолчанию или вашу группу безопасности, чтобы контролировать трафик от и к инстансам в группе безопасности. Ниже приведены некоторые типичные примеры конфигурации группы безопасности:
- Удалённый вход в ECS с локального сервера
- Удалённое подключение к ECS с локального сервера для загрузки или скачивания файлов по FTP
- Настройка веб‑сайта на ECS для предоставления услуг, доступных из интернета
- Использование команды ping для проверки сетевого соединения
- Включение связи между инстансами в разных группах безопасности
- Разрешение внешним инстансам доступ к базе данных, развернутой на ECS
- Разрешение ECS доступать только к определённым внешним веб‑сайтам
Меры предосторожности
Обратите внимание на следующее перед настройкой правил группы безопасности:
- Экземпляры, связанные с разными группами безопасности, изолированы друг от друга по умолчанию.
- Как правило, группа безопасности отклоняет все внешние запросы по умолчанию, позволяя при этом экземплярам в ней взаимодействовать друг с другом.
При необходимости можно добавить входящие правила, чтобы разрешить определённый трафик для доступа к экземплярам в группе безопасности.
- По умолчанию правила исходящего трафика группы безопасности разрешают все запросы от экземпляров в группе безопасности к внешним ресурсам.
Если правила исходящего трафика удалены, экземпляры в группе безопасности не могут взаимодействовать с внешними ресурсами. Чтобы разрешить исходящий трафик, необходимо добавить правила исходящего трафика, обратившись к Таблица 1.
Таблица 1 Правила исходящего трафика по умолчанию в группе безопасности Направление
Приоритет
Действие
Тип
Протокол & Порт
Назначение
Описание
Исходящий
1
Разрешить
IPv4
Все
0.0.0.0/0
Разрешает экземплярам в группе безопасности получать доступ к любому IPv4-адресу через любой порт.
Исходящий
1
Разрешить
IPv6
Все
::/0
Разрешает экземплярам в группе безопасности получать доступ к любому IPv6-адресу через любой порт.
Remotely Logging In to an ECS from a Local Server
Группа безопасности по умолчанию отклоняет все внешние запросы. Чтобы удаленно войти в ECS в группе безопасности с локального сервера, добавьте входящее правило, основанное на OS, работающей на ECS.
- Чтобы удаленно войти в Linux ECS с помощью SSH, включите порт 22. Для получения подробностей см. Таблица 2.
- Для удаленного входа в Windows ECS с использованием RDP включите порт 3389. Для получения подробной информации см Таблица 3.
Таблица 2 Удаленный вход в Linux ECS с использованием SSH Направление
Приоритет
Действие
Тип
Протокол и порт
Источник
Входящий
1
Разрешить
IPv4
TCP: 22
IP-адрес: 0.0.0.0/0
Таблица 3 Удаленный вход в Windows ECS с использованием RDP Направление
Приоритет
Действие
Тип
Протокол & Порт
Источник
Входящий
1
Разрешить
IPv4
TCP: 3389
IP-адрес: 0.0.0.0/0
NoticeЕсли источник установлен на 0.0.0.0/0, все внешние IP-адреса могут удалённо входить в ECS. Чтобы обеспечить безопасность сети и предотвратить прерывание службы, вызванное сетевыми вторжениями, установите источник на надёжный IP-адрес. Для получения подробной информации см. Таблица 4.
Таблица 4 Удалённый вход в ECS с использованием надёжного IP-адреса Тип ECS
Направление
Приоритет
Действие
Тип
Протокол & Порт
Источник
Linux ECS
Входящий
1
Разрешить
IPv4
TCP: 22
IP-адрес: 192.168.0.0/24
Windows ECS
Входящий
1
Разрешить
IPv4
TCP: 3389
IP-адрес: 10.10.0.0/24
Удалённое подключение к ECS с локального сервера для загрузки или скачивания файлов по FTP
По умолчанию группа безопасности отклоняет все внешние запросы. Если вам нужно удалённо подключиться к ECS с локального сервера для загрузки или скачивания файлов по FTP, необходимо включить FTP‑порты 20 и 21.
Направление | Приоритет | Действие | Тип | Протокол и порт | Source |
|---|---|---|---|---|---|
Входящий | 1 | Разрешить | IPv4 | TCP: 20-21 | IP-адрес: 0.0.0.0/0 |
- Если источник установлен на 0.0.0.0/0, всем внешним IP-адресам разрешено удалённо входить в ECS для загрузки или скачивания файлов. Чтобы обеспечить сетевую безопасность и предотвратить прерывание обслуживания, вызванное сетевыми вторжениями, установите источник на доверенный IP-адрес. Подробнее см Таблица 6.
- Сначала необходимо установить программу FTP‑сервера на ECS и затем проверить, работают ли порты 20 и 21 корректно
Направление | Приоритет | Действие | Тип | Протокол и Порт | Источник |
|---|---|---|---|---|---|
Входящий | 1 | Разрешить | IPv4 | TCP: 20-21 | IP address: 192.168.0.0/24 |
Настройка веб‑сайта на ECS для предоставления услуг, доступных из Интернета
Группа безопасности по умолчанию отклоняет все внешние запросы. Если вы настраиваете веб‑сайт на ECS, чтобы разрешить доступ из Интернета, вам необходимо добавить правило входящего трафика в группу безопасности ECS, чтобы разрешить доступ через определённые порты, такие как HTTP (80) и HTTPS (443).
Направление | Приоритет | Действие | Тип | Протокол и порт | Источник |
|---|---|---|---|---|---|
Входящий | 1 | Разрешить | IPv4 | TCP: 80 | IP-адрес: 0.0.0.0/0 |
Входящий | 1 | Разрешить | IPv4 | TCP: 443 | IP-адрес: 0.0.0.0/0 |
Использование ping Команда для проверки сетевого соединения
Ping работает, отправляя запрос Echo протокола Internet Control Message Protocol (ICMP). Чтобы выполнить ping ECS с вашего PC и проверить сетевое соединение, необходимо добавить входящее правило в группу безопасности ECS, позволяющее трафик ICMP.
Направление | Приоритет | Действие | Тип | Протокол и Порт | Источник |
|---|---|---|---|---|---|
Входящий | 1 | Разрешить | IPv4 | ICMP: All | IP-адрес: 0.0.0.0/0 |
Входящий | 1 | Разрешить | IPv6 | ICMP: Все | IP адрес: ::/0 |
Включение коммуникаций между экземплярами в разных группах безопасности
Экземпляры в одном VPC, но в разных группах безопасности не могут взаимодействовать друг с другом. Если вы хотите ECSs в группе безопасности sg-A для доступа к базам данных MySQL в группе безопасности sg-B, вам необходимо добавить входящее правило в группу безопасности sg-B для разрешения доступа от ECSs в группе безопасности sg-A.
Направление | Приоритет | Действие | Тип | Протокол & Порт | Источник |
|---|---|---|---|---|---|
Входящий | 1 | Разрешить | IPv4 | TCP: 3306 | Группа безопасности: sg-A |
Allowing External Instances to Access the Database Deployed on an ECS
Группа безопасности по умолчанию отклоняет все внешние запросы. Если вы развернули базу данных на ECS и хотите, чтобы к базе данных получали доступ внешние экземпляры в частной сети, вам необходимо добавить входящее правило в группу безопасности ECS, чтобы разрешить доступ через соответствующие порты. Ниже перечислены некоторые общие порты для баз данных:
- MySQL: порт 3306
- Oracle: порт 1521
- MS SQL: порт 1433
- PostgreSQL: порт 5432
- Redis: порт 6379
Направление | Приоритет | Действие | Тип | Протокол и порт | Источник | Описание |
|---|---|---|---|---|---|---|
Входящий | 1 | Разрешить | IPv4 | TCP: 3306 | Группа безопасности: sg-A | Разрешает ECS в группе безопасности sg-A для доступа к базе данных MySQL. |
Входящий | 1 | Разрешить | IPv4 | TCP: 1521 | Группа безопасности: sg-B | Разрешает ECS в группе безопасности sg-B для доступа к базе данных Oracle. |
Входящий | 1 | Разрешить | IPv4 | TCP: 1433 | IP-адрес: 172.16.3.21/32 | Разрешает ECS, чей частный IP-адрес 172.16.3.21, доступ к базе данных MS SQL. |
Входящий | 1 | Разрешить | IPv4 | TCP: 5432 | IP-адрес: 192.168.0.0/24 | Разрешает ECS, чьи частные IP-адреса находятся в сети 192.168.0.0/24, доступ к базе данных PostgreSQL. |
В этом примере исходные IP-адреса указаны только для справки. Замените их фактическими IP-адресами.
Разрешить ECS доступ только к определённым внешним веб-сайтам
По умолчанию группа безопасности разрешает весь исходящий трафик. Таблица 12 перечислены правила исходящего трафика по умолчанию. Если вы хотите разрешить ECSs доступ только к определённым веб‑сайтам, настройте группу безопасности следующим образом:
- Добавьте правила исходящего трафика, чтобы разрешить передачу только через определённые порты к определённым IP‑адресам.
Таблица 11 Разрешение ECSs доступа только к определённым внешним веб‑сайтам Направление
Приоритет
Действие
Тип
Протокол & Порт
Назначение
Описание
Исходящий
1
Разрешить
IPv4
TCP: 80
IP‑адрес: 132.15.XX.XX
Разрешает ECSs в группе безопасности доступ к внешнему веб‑сайту по адресу http://132.15.XX.XX:80.
Исходящий
1
Разрешить
IPv4
TCP: 443
IP-адрес: 145.117.XX.XX
Позволяет ECS в группе безопасности получать доступ к внешнему веб‑сайту по адресу https://145.117.XX.XX:443.
- Удалить правила исходящего трафика по умолчанию, разрешающие весь трафик.
Таблица 12 Правила исходящего трафика по умолчанию в группе безопасности Направление
Приоритет
Действие
Тип
Протокол и порт
Назначение
Описание
Исходящий
1
Разрешить
IPv4
Все
0.0.0.0/0
Разрешает экземплярам в группе безопасности получать доступ к любому IPv4‑адресу через любой порт.
Исходящий
1
Разрешить
IPv6
Все
::/0
Разрешает экземплярам в группе безопасности получать доступ к любому IPv6‑адресу через любой порт.
- Меры предосторожности
- Удаленный вход в ECS с локального сервера
- Удаленное подключение к ECS с локального сервера для загрузки или скачивания файлов через FTP
- Настройка веб‑сайта на ECS для предоставления услуг, доступных через Интернет
- Использование ping Команда для проверки сетевого подключения
- Включение связи между экземплярами в разных группах безопасности
- Разрешение внешним экземплярам доступа к базе данных, развернутой на ECS
- Разрешение ECS обращаться только к определённым внешним веб‑сайтам