/DOCS
Облачная платформаAdvanced

Примеры конфигурации группы безопасности

Эта статья полезна?
Язык статьи: Русский
Показать оригинал
Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

Когда вы создаёте экземпляры, такие как облачные серверы, контейнеры и базы данных, в подсети VPC, вы можете использовать группу безопасности по умолчанию или создать группу безопасности. Вы можете добавлять входящие и исходящие правила к группе безопасности по умолчанию или созданной вами для контроля трафика от и к экземплярам в группе безопасности. Ниже приведены некоторые типичные примеры конфигурации группы безопасности:

Примечания

Обратите внимание на следующее перед настройкой правил группы безопасности:

  • Экземпляры, связанные с разными группами безопасности, изолированы друг от друга по умолчанию.
  • Как правило, группа безопасности отклоняет все внешние запросы по умолчанию, при этом позволяя экземплярам в ней общаться друг с другом.

    При необходимости вы можете добавить входящие правила, чтобы разрешить определённый трафик к экземплярам в группе безопасности.

  • По умолчанию правила исходящего трафика группы безопасности разрешают все запросы от экземпляров в группе безопасности к внешним ресурсам.

    Если правила исходящего трафика удалены, экземпляры в группе безопасности не могут взаимодействовать с внешними ресурсами. Чтобы разрешить исходящий трафик, необходимо добавить правила исходящего трафика, обратившись к Таблица 1.

    Таблица 1 Правила исходящего трафика по умолчанию в группе безопасности

    Направление

    Приоритет

    Действие

    Тип

    Протокол & Порт

    Назначение

    Описание

    Исходящий

    1

    Разрешить

    IPv4

    Все

    0.0.0.0/0

    Позволяет экземплярам в группе безопасности получать доступ к любому IPv4-адресу через любой порт.

    Исходящий

    1

    Разрешить

    IPv6

    Все

    ::/0

    Позволяет экземплярам в группе безопасности получать доступ к любому IPv6-адресу через любой порт.

Удалённый вход в ECS с локального сервера

Группа безопасности по умолчанию отклоняет все внешние запросы. Чтобы удаленно войти в ECS в группе безопасности с локального сервера, добавьте входящее правило, основанное на ОС, работающей на ECS.

  • Чтобы удаленно войти в Linux ECS, используя SSH, включите порт 22. Для получения подробностей см Таблица 2.
  • Чтобы удаленно войти в Windows ECS, используя RDP, включите порт 3389. Для получения подробностей см Таблица 3.
    Таблица 2 Удаленный вход в Linux ECS с использованием SSH

    Направление

    Приоритет

    Действие

    Тип

    Протокол и Порт

    Источник

    Inbound

    1

    Разрешить

    IPv4

    TCP: 22

    IP адрес: 0.0.0.0/0

    Таблица 3 Удалённый вход в Windows ECS с использованием RDP

    Направление

    Приоритет

    Действие

    Тип

    Протокол и Порт

    Источник

    Входящий

    1

    Разрешить

    IPv4

    TCP: 3389

    IP адрес: 0.0.0.0/0

    Caution

    Если источник установлен на 0.0.0.0/0, все внешние IP-адреса могут удалённо входить в ECS. Чтобы обеспечить сетевую безопасность и предотвратить прерывание услуг, вызванных сетевыми вторжениями, задайте источником доверенный IP-адрес. Подробнее см. Таблица 4.

    Таблица 4 Удаленный вход в ECS с использованием доверенного IP-адреса

    Тип ECS

    Направление

    Приоритет

    Действие

    Тип

    Протокол & Порт

    Источник

    Linux ECS

    Входящий

    1

    Разрешить

    IPv4

    TCP: 22

    IP-адрес: 192.168.0.0/24

    Windows ECS

    Входящий

    1

    Разрешить

    IPv4

    TCP: 3389

    IP-адрес: 10.10.0.0/24

Удалённое подключение к ECS с локального сервера для загрузки или скачивания файлов через FTP

По умолчанию группа безопасности отклоняет все внешние запросы. Если вам необходимо удалённо подключиться к ECS с локального сервера для загрузки или скачивания файлов через FTP, необходимо включить FTP порты 20 и 21.

Таблица 5 Удалённое подключение к ECS с любого сервера для загрузки или скачивания файлов через FTP

Направление

Приоритет

Действие

Тип

Протокол & Порт

Источник

Входящий

1

Разрешить

IPv4

TCP: 20-21

IP‑адрес: 0.0.0.0/0

Caution
  • Если источник установлен в 0.0.0.0/0, все внешние IP‑адреса могут удалённо входить в ECS для загрузки или скачивания файлов. Чтобы обеспечить сетевую безопасность и предотвратить прерывания службы, вызываемые сетевыми вторжениями, установите источник в доверенный IP‑адрес. Подробнее см. Таблица 6.
  • Сначала необходимо установить программу FTP‑сервера на ECS и затем проверить, правильно ли работают порты 20 и 21.
Таблица 6 Удалённое подключение к ECS с доверенного сервера для загрузки или скачивания файлов

Направление

Приоритет

Действие

Тип

Протокол и Порт

Источник

Входящий

1

Разрешить

IPv4

TCP: 20-21

IP address: 192.168.0.0/24

Настройка веб‑сайта на ECS для предоставления услуг, доступных из Интернета

Группа безопасности по умолчанию отклоняет все внешние запросы. Если вы настроите веб‑сайт на ECS для доступа из Интернета, вам понадобится добавить входящее правило в группу безопасности ECS, чтобы разрешить доступ через определённые порты, такие как HTTP (80) и HTTPS (443).

Таблица 7 Настройка веб‑сайта на ECS для предоставления услуг, доступных из Интернета

Направление

Приоритет

Действие

Тип

Протокол & Порт

Источник

Входящий

1

Разрешить

IPv4

TCP: 80

IP address: 0.0.0.0/0

Входящий

1

Разрешить

IPv4

TCP: 443

IP-адрес: 0.0.0.0/0

Использование ping Команда для проверки сетевого соединения

Ping работает, отправляя запрос Echo протокола Internet Control Message Protocol (ICMP). Чтобы выполнить ping ECS с вашего ПК для проверки сетевого соединения, необходимо добавить входящее правило в группу безопасности ECS, позволяющее ICMP‑трафик.

Таблица 8 Использование ping команда для проверки сетевого соединения

Направление

Приоритет

Действие

Тип

Протокол & Порт

Источник

Входящий

1

Разрешить

IPv4

ICMP: Все

IP address: 0.0.0.0/0

Входящий

1

Разрешить

IPv6

ICMP: Все

IP address: ::/0

Включение коммуникаций между экземплярами в разных группах безопасности

Экземпляры в одном VPC, но в разных группах безопасности, не могут взаимодействовать друг с другом. Если вы хотите ECS в группе безопасности sg-A для доступа к базам данных MySQL в группе безопасности sg-B, вам необходимо добавить входящее правило в группу безопасности sg-B чтобы разрешить доступ от ECS в группе безопасности sg-A.

Таблица 9 Включение коммуникаций между экземплярами в разных группах безопасности

Направление

Приоритет

Действие

Тип

Протокол & Порт

Источник

Входящий

1

Разрешить

IPv4

TCP: 3306

Группа безопасности: sg-A

Разрешение внешним экземплярам доступа к базе данных, развернутой на ECS

Группа безопасности по умолчанию отклоняет все внешние запросы. Если вы развернули базу данных на ECS и хотите, чтобы к базе данных имели доступ внешние экземпляры в частной сети, необходимо добавить входящее правило в группу безопасности ECS, чтобы разрешить доступ через соответствующие порты. Ниже перечислены некоторые распространённые порты для баз данных:

  • MySQL: порт 3306
  • Oracle: порт 1521
  • MS SQL: порт 1433
  • PostgreSQL: порт 5432
  • Redis: порт 6379

В этом примере источник указан только для справки. Установите источник в соответствии с фактическими требованиями.

Таблица 10 Разрешение внешним инстансам доступа к базе данных, развернутой на ECS

Направление

Приоритет

Действие

Тип

Протокол и порт

Источник

Описание

Входящий

1

Разрешить

IPv4

TCP: 3306

Security group: sg-A

Разрешает ECS в группе безопасности sg-A для доступа к базе данных MySQL.

Входящий

1

Разрешить

IPv4

TCP: 1521

Группа безопасности: sg-B

Разрешает ECS в группе безопасности sg-B для доступа к базе данных Oracle.

Входящий

1

Разрешить

IPv4

TCP: 1433

IP-адрес: 172.16.3.21/32

Разрешает ECS с частным IP-адресом 172.16.3.21 доступ к базе данных MS SQL.

Входящий

1

Разрешить

IPv4

TCP: 5432

IP-адрес: 192.168.0.0/24

Разрешает ECS, чьи частные IP-адреса находятся в сети 192.168.0.0/24, получать доступ к базе данных PostgreSQL.

Разрешение ECS получать доступ только к определённым внешним веб‑сайтам

По умолчанию группа безопасности разрешает весь исходящий трафик. Таблица 12 перечисляет правила исходящего трафика по умолчанию. Если вы хотите разрешить ECS доступ только к определённым веб‑сайтам, настройте группу безопасности следующим образом:

  1. Добавьте правила исходящего трафика, чтобы разрешить трафик только через определённые порты к конкретным IP-адресам.
    Таблица 11 Разрешение ECS получать доступ только к определённым внешним веб‑сайтам

    Направление

    Приоритет

    Действие

    Тип

    Протокол и Порт

    Назначение

    Описание

    Исходящий

    1

    Разрешить

    IPv4

    TCP: 80

    IP-адрес: 132.15.XX.XX

    Позволяет ECS в группе безопасности обращаться к внешнему веб-сайту по адресу http://132.15.XX.XX:80.

    Исходящий

    1

    Разрешить

    IPv4

    TCP: 443

    IP-адрес: 145.117.XX.XX

    Позволяет ECS в группе безопасности обращаться к внешнему веб-сайту по адресу https://145.117.XX.XX:443.

  2. Удалите правила исходящего трафика по умолчанию, которые разрешают весь трафик.
    Таблица 12 Правила исходящего трафика по умолчанию в группе безопасности

    Направление

    Приоритет

    Действие

    Тип

    Протокол & Порт

    Назначение

    Описание

    Исходящий

    1

    Разрешить

    IPv4

    Все

    0.0.0.0/0

    Разрешает экземплярам в группе безопасности доступ к любому IPv4-адресу на любой порт.

    Исходящий

    1

    Разрешить

    IPv6

    Все

    ::/0

    Разрешает экземплярам в группе безопасности доступ к любому IPv6-адресу на любой порт.

Родительская тема: Группы безопасности
Поддержка Юридические документы
© 2026 Cloud.ru