默认安全组是阿里云为您创建的安全组,其包含一些默认的安全组规则。
若您创建ECS实例时未指定安全组,阿里云会将ECS实例加入到默认安全组中。若默认安全组不存在,或者默认安全组中不能容纳更多ECS实例,阿里云会为您创建一个新的默认安全组,并将新创建的ECS实例加入到默认安全组中。
在专有网络下,安全组仅能在所属的VPC下使用,因此每个VPC下都可能被创建默认安全组。如果您在VPC的指定交换机下创建ECS实例,但没有指定安全组,阿里云会将ECS实例加入该VPC下的默认安全组中。如果该VPC下不存在默认安全组,或者已有默认安全组中不能容纳更多ECS实例,阿里云会在该VPC下创建一个新的默认安全组。
重要
请您注意,默认安全组是为了简化ECS实例初次使用流程而产生的,其默认规则针对TCP协议的22、3389端口以及ICMP(IPv4)协议,对任意源地址(0.0.0.0/0)放通流量,这是不符合安全最佳实践的。从安全最佳实践的角度来看,阿里云建议您在安全组规则中仅放通指定的源地址,而不是任意源地址,建议您尽量不要使用默认安全组,而是根据自己业务需要创建新的安全组。
使用API创建ECS实例时的默认安全组
如果您使用CreateInstance接口创建ECS实例,但未指定安全组时,阿里云会将ECS实例加入到默认安全组中。默认安全组的安全组类型为普通安全组,并包含如下入方向安全组规则:
|
协议类型 |
端口范围 |
授权对象 |
优先级 |
授权策略 |
|
TCP |
22/22 |
0.0.0.0/0 |
100 |
允许 |
|
TCP |
3389/3389 |
0.0.0.0/0 |
100 |
允许 |
|
ICMP(IPv4) |
-1/-1 |
0.0.0.0/0 |
100 |
允许 |
-
针对TCP协议,允许任意源地址访问22端口(对应SSH协议)和3389端口(对应RDP协议)。
-
针对ICMP(IPv4)协议,允许任意源地址访问。
如果您使用RunInstances接口创建ECS实例,则必须指定已有的安全组。
说明
2020年05月27日以前系统创建的默认安全组规则的优先级为110。
使用控制台创建ECS实例时的默认安全组
如果您使用控制台创建专有网络类型的ECS实例,在您选择的专有网络VPC下没有安全组时,您可以勾选要开通的IPv4协议和端口,在创建ECS实例的同时,创建一个默认安全组,并将ECS实例加入到这个默认安全组中。
如果您创建经典网络类型的ECS实例且当账号下没有经典网络类型的安全组时,您才可以在控制台使用默认安全组。
更多信息,请参见使用控制台创建ECS实例时的默认安全组。
腾讯云1折,限时活动,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利。同意关联立享优惠
转转请注明出处:https://www.yunxiaoer.com/150501.html
