Ограничения и особенности
Перед началом использованиям сервиса «Группы безопасности» ознакомьтесь с его особенностями и ограничениями.
Добавление виртуальной машины в группу безопасности
В группы безопасности добавляются сетевые интерфейсы виртуальных машин. Если у виртуальной машины несколько сетевых интерфейсов, они могут быть добавлены в разные группы безопасности. Поэтому при подключении к разным подсетям для виртуальной машины могут действовать разные наборы правил входящего и исходящего трафика.
Каждый сетевой интерфейс должен быть добавлен хотя бы в одну группу безопасности. Максимальное количество групп для интерфейса не ограничено.
При добавлении в несколько групп безопасности правила входящего и исходящего трафика этих групп суммируются.
Виртуальная машина и группа безопасности, в которую она добавляется, должны размещаться в одной зоне доступности.
Группы безопасности по умолчанию
Группа безопасности по умолчанию (Default) автоматически создается в каждой зоне доступности вашей организации и может назначаться только интерфейсам виртуальных машин в этой зоне. Если вы явно не выберите другую группу или набор групп, интерфейс виртуальной машины добавится именно в эту в группу.
Вы можете редактировать группу безопасности по умолчанию и ее правила, но удаление такой группы недоступно.
Каждая группа безопасности по умолчанию создается с одинаковым набором правил для самых популярных сценариев работы в облаке:
Правила входящего трафика
Тип
Протокол
Порт
Тип источника
Источник
Описание
IPv6
Любой
Любой
Группа безопасности
Default
All ingress IPv6 from default group
IPv4
Любой
Любой
Группа безопасности
Default
All ingress IPv4 from default group
IPv4
TCP
443:443
IP-адрес
0.0.0.0/0
HTTPS
IPv4
TCP
80:80
IP-адрес
0.0.0.0/0
HTTP
IPv4
TCP
22:22
IP-адрес
0.0.0.0/0
SSH
Правила исходящего трафика
Тип
Протокол
Порт
Тип адресата
Адресат
Описание
IPv6
Любой
Любой
IP-адрес
::/0
All egress IPv6
IPv4
Любой
Любой
IP-адрес
0.0.0.0/0
All egress IPv4
Примечание
Правила могут отличаться, если ранее их редактировали пользователи облака. Перед тем, как использовать группу безопасности по умолчанию, рекомендуем посмотреть ее правила и убедиться, что они вам подходят.
Запрещено все, что явно не разрешено
Группы безопасности функционируют по принципу «запрещено все, что явно не разрешено». По умолчанию запрещено передавать и принимать трафик любым способом, даже между виртуальными машинами в группе.
Для разрешения приема или передачи трафика нужно создать соответствующее входящее или исходящее правило. Разрешающие правила созданы заранее только в группах безопасности по умолчанию.
Изменение групп безопасности
Создание, редактирование и удаление правил применяется ко всем виртуальным машинам в изменяемой группе безопасности сразу после сохранения изменений. Перезагрузка или другие дополнительные действия не требуются.
Контроль состояния сессий
Группы безопасности отслеживают состояние соединений и сопоставляют трафик ответа с уже открытой сессией, чтобы разрешить его прием.
Например, если создать исходящее правило, которое разрешит виртуальной машине передавать трафик на 80 порт какого-либо IP-адреса, то ответы от 80 порта сервера на порт источника, откуда отправлялся запрос, будут автоматически разрешены. Аналогично работают правила для входящего трафика.
Объединение правил групп безопасности
Если назначить виртуальной машине более одной группы безопасности, правила этих групп суммируются.
Например, виртуальная машина состоит в двух группах безопасности. В первой группе безопасности разрешен исходящий трафик на любые IP-адреса (первое правило), а во второй разрешены входящие SSH-подключения (второе правило). В результате для виртуальной машины применятся оба этих правила.
Это свойство упрощает администрирование. Например, виртуальную машину можно исключить из ненужных групп безопасности вместо того, чтобы редактировать правила в единой группе безопасности.
для Dev & Test