安全组按照类型划分为普通安全组和企业级安全组,两者均免费。在安全组容量、能否添加授权安全组的规则以及默认访问控制规则等方面有一定差异,适用于不同的使用场景。
安全组容量
安全组容量是指安全组中能够容纳的私网IP数量。在您将ECS实例、弹性网卡、ECI实例等资源关联到安全组时,这些资源的私网IP将会占用安全组的容量。值得注意的是,单个资源的私网IP数量会有一个或多个。
相比于普通安全组,企业级安全组可以容纳更多的私网IP地址数量。如果您集群中的私网IP数量较多,普通安全组无法容纳,阿里云建议您使用企业级安全组。具体的容量对比如下表所示:
|
对比项 |
普通安全组 |
企业级安全组 |
|
VPC网络下,单个安全组能容纳的私网IP地址数量 |
2,000,支持自助申请提高到6,000 说明 您可以在配额中心找到专有网络普通安全组内的私网IP地址数量上限配额项进行申请。具体操作,请参见创建配额提升申请。 |
65,536 |
|
经典网络下,单个安全组能容纳的私网IP地址数量 |
1,000 |
不支持经典网络 |
能否添加授权安全组的规则
添加授权安全组的规则,是指添加一条安全组规则,规则的授权对象为一个安全组ID。
-
在普通安全组中,您可以添加授权对象为其他普通安全组的规则。能够添加的授权安全组的规则有数量限制,最多不能超过20条。更多信息,请参见安全组使用限制。
-
在企业级安全组中,您不能添加授权对象为安全组的规则,也不能将企业级安全组作为其他安全组规则中的授权对象。
普通安全组的组内互通功能,可以理解为一种授权本安全组内ECS实例内网访问的特殊规则。在企业级安全组中,安全组内的ECS实例默认组内隔离,您不能将企业级安全组的内网连通策略设置为组内互通。
默认访问控制规则
普通安全组和企业级安全组的默认访问控制规则有所不同,普通安全组的组内连通策略,会影响其默认访问控制规则。安全组的默认访问控制规则是不可见的,与您自定义的安全组规则,共同作用如下:
说明
下文中的序号用于表示规则排序后的顺序,决定流量能否通过时,按照序号依次匹配。
普通安全组,组内连通策略(默认)设置为组内互通
-
入方向。如下表所示,在普通安全组的组内连通策略为组内互通时,不论安全组自定义规则如何配置,同安全组内其他ECS实例通过内网访问的流量将被放行(序号1)。其他流量,如果与安全组自定义规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号2)。否则,将会被拒绝访问(序号3)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
默认访问控制规则(不可见)
同安全组内其他ECS实例,通过内网访问的流量
允许
2
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
3
默认访问控制规则(不可见)
其他任何流量
拒绝
-
出方向。如下表所示,普通安全组出方向流量,如果与安全组出方向规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号1)。否则,其他任何出方向流量,将会被允许放行(序号2)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
允许
普通安全组,组内连通策略设置为组内隔离
-
入方向。如下表所示,在普通安全组的组内连通策略为组内隔离时,同安全组内其他ECS实例流量不再被默认放行。如果入方向流量与安全组自定义规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号1)。其他任何入方向流量,将会被拒绝访问(序号2)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
拒绝
-
出方向,与组内连通策略为组内互通时相同。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
允许
如上边对比可知,对于普通安全组,组内连通策略会影响入方向流量的默认访问控制规则。在组内连通策略被设置为组内互通时,阿里云会默认放行同安全组内其他ECS实例通过内网访问的流量。阿里云建议您遵循最小权限原则,在不需要普通安全组内ECS实例间内网互通时,将普通安全组的组内连通策略设置为组内隔离。更多信息,请参见修改安全组的连通策略。
企业级安全组
-
入方向。如下表所示,在企业级安全组中,如果入方向流量与安全组入方向规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号1)。其他任何入方向流量,将会被拒绝访问(序号2)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
拒绝
-
出方向。如下表所示,在企业级安全组中,如果出方向流量与安全组出方向规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号1)。其他任何出方向流量,将会被拒绝访问(序号2)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
拒绝
实例关联的安全组类型
在ECS实例关联多个安全组时,多个安全组只能是普通安全组或企业级安全组两种类型中的一种。您不能将ECS实例的同一块网卡,关联到两种不同类型的安全组中。
其他信息
-
企业级安全组仅支持VPC网络,不支持经典网络。普通安全组同时支持经典网络和VPC网络。
-
普通安全组和企业级安全组,均支持添加授权策略为允许或拒绝的安全组规则,均支持设置规则优先级。
腾讯云1折,限时活动,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利。同意关联立享优惠
转转请注明出处:https://www.yunxiaoer.com/150912.html
