Группы безопасности предназначены для контроля трафика виртуальных машин. Каждая группа включает набор разрешающих правил для исходящего и входящего трафика, которые применяются к сетевым интерфейсам.
В каждой
автоматически создается группа безопасности по умолчанию. Вы можете создать собственные группы безопасности с разным назначением и набором разрешений.Порядок действий
Авторизуйтесь в личном кабинете.
На верхней панели слева нажмите
и выберите Сеть → Группы безопасности.Нажмите Создать группу безопасности.
Выберите зону доступности, в которой необходимо разместить группу безопасности. Вы сможете назначить группу интерфейсам виртуальных машин из этой же зоны.
Укажите название группы безопасности.
(Опционально) Добавьте описание группы безопасности, в котором можно рассказать про ее назначение, особенности выдаваемых разрешений или политику безопасности компании, которую реализует правило.
(Опционально) Назначьте теги для группы безопасности.
Добавьте правила входящего и исходящего трафика.
Весь трафик, который явно не разрешен правилами, запрещен. Если в группе безопасности нет правил, членам группы запрещено передавать и принимать любой трафик.
Нажмите Добавить правило и заполните следующие параметры:
Параметр
Описание
Протокол
Сетевой протокол ТСР, UDP, ICMP или значение «Любой», которое разрешает трафик по всем протоколам.
Выбор протокола обязателен при указании порта.
Порт
Указывается опционально.
ПримечаниеВ целях безопасности рекомендуем указывать порт или диапазон портов всегда, когда это возможно.
Один или несколько портов, по которым передается трафик:
Один порт в формате 80.
Диапазон портов в формате 80:90 или 80-90.
Чтобы открыть несколько непоследовательных портов, необходимо создать для каждого из них отдельное правило.
Любой (все порты) — выбирается автоматически, если оставить поле незаполненным.
Для протокола ICMP выбор порта недоступен, потому что ICMP не работает на уровне портов.
Тип источника или Тип адресата
В правилах входящего трафика указывается источник, отправляющий трафик. В правилах исходящего трафика — адресат, получающий трафик.
Источником и адресатом могут быть как IP-адрес или диапазон IP-адресов, так и виртуальные машины определенной Группы безопасности.
Источник или Адресат
Если выбран тип IP-адрес, источником/адресатом могут быть:
Один IP-адрес, например 192.168.10.10/32.
Диапазон IP-адресов, например 192.168.52.0/24.
Все адреса: 0.0.0.0/0.
ПримечаниеВ целях безопасности рекомендуем указывать отдельные IP-адреса или небольшие диапазоны адресов.
Если выбран тип Группа безопасности, источником/адресатом могут быть:
Другая группа безопасности в той же зоне доступности.
Текущая группа безопасности. Такой выбор используется для настройки разрешений между виртуальными машинами внутри группы безопасности.
Описание
Указывается опционально.
Описание функции правила, которое помогает понять его назначение.
ПримечаниеЕсли в качестве источника или адресата необходимо указать создаваемую группу безопасности, сначала завершите создание группы, а затем добавьте в нее правило.
Нажмите Создать.
Результат
Новая группа безопасности отобразится в общем списке групп. Ее смогут использовать виртуальные машины в указанной зоне доступности.
Следующие шаги
Вы можете добавить интерфейс виртуальной машины в группу безопасности или выбрать группу при создании виртуальной машины на шаге Сетевые настройки.