阿里雲ECS安全組之新手不得不面對的問題

原文連接

概念

安全組是一個邏輯上的分組，這個分組是由同一個地域（Region）內具備相同安全保護需求並相互信任的實例組成。每一個實例至少屬於一個安全組，在建立的時候就須要指定。同一安全組內的實例之間網絡互通，不一樣安全組的實例之間默認內網不通。能夠受權兩個安全組之間互訪。

安全組是一種虛擬防火牆，具有狀態檢測包過濾功能。安全組用於設置單臺或多臺雲服務器的網絡訪問控制，它是重要的網絡安全隔離手段，用於在雲端劃分安全域。

安全組限制

• 單個安全組內的實例個數不能超過 1000。若是您有超過 1000 個實例須要內網互訪，能夠將他們分配到多個安全組內，並經過互相受權的方式容許互訪。
• 每一個實例最多能夠加入 5 個安全組。
• 每一個用戶的安全組最多 100 個。
• 對安全組的調整操做，對用戶的服務連續性沒有影響。
• 安全組是有狀態的。若是數據包在 Outbound 方向是被容許的，那麼對應的此鏈接在 Inbound 方向也是容許的。
• 安全組的網絡類型分爲經典網絡和專有網絡。
• 經典網絡類型的實例能夠加入同一地域（Region）下經典網絡類型的安全組。
• 專有網絡類型的實例能夠加入同一專有網絡（VPC）下的安全組。

安全組實踐

雲服務器ECS安全組實踐(一）
雲服務器ECS安全組實踐(二）
雲服務器ECS安全組實踐(三）

新手必備

新購

隨着雲服務器的普及以及對學生優惠的力度，相對於虛擬主機的價格，不少開發者或者學生更傾向於選擇雲服務器ECS。

虛擬主機已經有完善的配置，你只須要開通運用便可。可是，雲服務器就不會那麼輕鬆了，你須要懂得簡單的服務器環境配置，若是是Linux，你還須要懂得一些Linux的運維工做。

新手常常會遇到以下問題：

• 爲何經過SSH沒法鏈接服務器？
• 域名解析了，域名也綁定了(經過控制檯登陸的)，爲何域名沒法訪問？
• 服務器MySql數據庫安裝成功了，爲何本地沒法鏈接？

總之，不少相似的問題，這裏就不一一舉例了，下面咱們就來聊一聊，新購用戶該如何選擇安全組。

截止2017年6月4日，用戶點擊購買ECS默認會選擇自定義配置。

計費方式：包年包月

地域：根據服務用戶羣體地域選擇便可

網絡：默認是私有網絡，是指邏輯隔離的私有網絡，您能夠自定義網絡拓撲和 IP 地址，支持經過專線鏈接，網絡可擴展性強。適合於對網絡有個性化定製及高級定製需求的客戶。

若是你選擇的是專有網絡，能夠注意到網絡選項下面有一個安全組的選項，點擊下拉會看到默認安全組2(開放22，3389，ICMP協議)，選擇便可。

若是你選擇的是經典網絡，點擊安全組下拉會看到兩個選項，默認安全組1和默認安全組2，建議選擇1並勾選一下選項。

注意

• 22端口是Linux系統下SSH端口，用於遠程鏈接。
• 3389端口是Windows系統用於遠程桌面鏈接的。
• 若是你先私有網絡，若須要開放其餘端口如：80端口(HTTP)、443端口(HTTPS)，您能夠在實例建立成功後前往 ECS控制檯->安全組->配置規則 裏設置。

好，到目前爲止，剩下的選項根據本身的需求，簡單配置一下便可下單了。

配置

購買成功後，安全組位於雲服務器 ECS-網絡和安全-安全組。

點擊配置規則，一下是樓主服務器的安全組配置：

因爲樓主選擇的是經典網絡，對於內網出入方向以及公網出方向你們能夠暫且不用考慮(默認爲空便可)，這裏咱們只須要配置公網入方向就ok。

服務器只開放了80以及22端口，對於樓主來着足夠了，固然若是你服務器安裝可MySql，能夠開放3306端口（不建議對外開放）點擊右上角新增安全組規則便可。

固然，若是你選擇是專有網絡的話，安全組只有內網如方向和內網出方向了。

我理解的專有網絡的內網入方向和內網出方向和經典網絡的外網入方向和外網出方向是對等的。因爲專有網絡是邏輯隔離的VPC，內網是相對隔離的，固然也就不存在經典網絡的內網出入方向。

以上，只是本身的一些理解，若有不對之處敬請指正！

原文連接