本文由火山云代理商【聚搜云】撰写
1. 登录火山引擎控制台
- 访问火山引擎官网,登录您的账号。
2. 创建安全组
- 在控制台首页,找到“云服务器”选项。
- 点击左侧菜单中的“网络与安全”,选择“安全组”。
- 点击“创建安全组”按钮,填写安全组名称和描述(可选),然后确认创建。
3. 添加入站规则
-
在安全组列表中,找到刚刚创建的安全组,并点击“配置规则”。
-
选择“添加入站规则”,设置以下参数:
- 协议类型:选择 TCP、UDP 或 ICMP。
- 端口范围:指定被允许的端口。例如,HTTP 的端口是 80,HTTPS 的端口是 443。
- 源 IP 地址:可以是具体的 IP 地址或 IP 地址段。
-
点击“确定”以保存规则设置。
4. 添加出站规则
- 在同样的配置页面,选择“添加出站规则”。
- 设置出站规则的参数,步骤与入站规则相似。
- 保存后,出站规则将立即生效。
5. 合理使用安全组规则
- 最小授权原则:只允许必要的端口和 IP 地址访问,避免使用
0.0.0.0/0进行配置。 - 简洁性:保持安全组规则简洁,以利于维护。
- 按需划分:根据应用、环境或网络服务类型划分安全组。
- 叠加使用:当云服务器具有多种需求时,可关联多个安全组。
6. 避免设置0.0.0.0/0访问规则
- 使用0.0.0.0/0表示允许所有的入网访问,这意味着在公网上暴露所有的端口,这是十分不安全且存在极大隐患的操作。
7. 降低非必要规则的优先级
- 添加安全组规则时需要设置优先级,优先级的取值范围为1 ~ 100,数字越小代表优先级越高。
8. 设置安全组作为访问对象
- 在分布式应用中,不同类型的应用使用了不同的安全组,因此会出现不同的安全组之间网络不通的问题。为了能够实现指定应用可访问,可以在被访问应用的安全组中放通一条规则,源地址设为待访问应用的安全组。
9. 设置可信IP网段作为访问对象
- 如果仅需要授权私有网络中某个子网内的云服务器访问,可在被访问对象的安全组中,先拒绝所有访问,然后放通待访子网的CIDR,授权此可信IP网段访问。
10. 修改、复制和删除安全组规则
- 修改规则:根据业务变化,按需修改安全组规则的策略、优先级、端口、协议、源地址等。
- 复制规则:同一安全组内不可重复添加安全组规则,因此复制安全组规则时若未进行任何修改,将不会复制成功。
- 删除规则:登录安全组控制台,选择目标项目和地域,单击目标安全组右侧的“配置规则”按钮,删除单条或多条规则。
