Перед началом использования сервиса «Группы безопасности» ознакомьтесь с его особенностями и ограничениями.
Квоты — ограничения на ресурсы в сервисе. Ресурсы, предоставленные в рамках квот, выделяются на организацию и расходуются на все проекты в этой организации.
В таблице указаны квоты, которые по умолчанию выделяются на организацию при ее создании. Чтобы увеличить объем квот, обратитесь в техническую поддержку.
Квота | Значение |
|---|---|
Количество групп безопасности в рамках организации | 20 |
Общее количество правил во всех группах безопасности | 100 |
При создании виртуальной машины необходимо выбрать хотя бы одну группу безопасности, которая разрешает исходящий трафик на IP-адрес 169.254.169.254. Это необходимо для работы агента cloud-init, который передает метаданные на виртуальную машину — логин, пароль, публичный ключ, имя хоста и пр.
Если в выбранной группе открыт весь исходящий трафик, дополнительно разрешать трафик на IP-адрес 169.254.169.254 не нужно.
Если вы хотите закрыть весь исходящий трафик для виртуальной машины, добавьте в группу безопасности как минимум два правила для исходящего трафика:
Трафик | Протокол | Порт | Тип адресата | Адресат |
|---|---|---|---|---|
Исходящий | TCP | 80 | IP-адрес | 169.254.169.254/32 |
Исходящий | TCP | 443 | IP-адрес | 169.254.169.254/32 |
Создание, редактирование и удаление правил применяется ко всем виртуальным машинам в изменяемой группе безопасности сразу после сохранения изменений. Перезагрузка или другие дополнительные действия не требуются.
На данный момент сервис не предоставляет возможности отключать правила, чтобы временно приостановить их действие. При необходимости вы можете удалять правила и создавать снова неограниченное количество раз.
Группы безопасности отслеживают состояние соединений и сопоставляют трафик ответа с уже открытой сессией, чтобы разрешить его прием.
Например, если создать исходящее правило, которое разрешит виртуальной машине передавать трафик на 80 порт какого-либо IP-адреса, то ответы от 80 порта сервера на порт источника, откуда отправлялся запрос, будут автоматически разрешены. Аналогично работают правила для входящего трафика.
Если назначить виртуальной машине более одной группы безопасности, правила этих групп суммируются.
Например, виртуальная машина состоит в двух группах безопасности. В первой группе безопасности разрешен исходящий трафик на любые IP-адреса (первое правило), а во второй разрешены входящие SSH-подключения (второе правило). В результате для виртуальной машины применятся оба этих правила.
Это свойство упрощает администрирование. Например, виртуальную машину можно исключить из ненужных групп безопасности вместо того, чтобы редактировать правила в единой группе безопасности.
В настоящее время в правилах групп безопасности поддерживаются только IPv4-адреса.