安全组是ECS实例的虚拟防火墙,用于设置单个或多个ECS实例的网络访问控制。本文介绍如何在ECS控制台上创建一个安全组。

前提条件

如果您要创建专有网络VPC类型安全组,请确认您已经有可用的专有网络VPC和交换机。更多详情,请参见创建专有网络

背景信息

每台ECS实例必须至少属于一个安全组。在您创建ECS实例时,如果您还未创建过安全组,阿里云会为您创建一个默认安全组。默认安全组中的默认规则仅设置针对ICMP协议、SSH 22端口、RDP 3389端口、HTTP 80端口和HTTPS 443端口的入方向规则。更多详情,请参见安全组概述。如果您不希望ECS实例加入默认安全组,您可以根据本文描述,自行创建安全组。

操作步骤

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击网络与安全 > 安全组
  3. 在顶部菜单栏左上角处,选择地域。
  4. 单击创建安全组
  5. 创建安全组页面,配置安全组属性。
    名称 描述
    安全组名称 设置安全组名称。
    描述 简短地描述安全组,方便后期管理。
    网络 设置安全组的网络类型。
    • 如果为经典网络类型安全组,选择经典网络
    • 如果为专有网络类型安全组,选择已经创建的专有网络VPC。
    安全组类型 选择安全组类型。
    • 普通安全组:适用于集群规模较小,网络连接数适中的用户场景。
    • 企业级安全组:适用于集群规模较大,对运维效率有更高需求的用户场景。

    更多功能差异,请参见安全组概述
    资源组 设置安全组所属的资源组,便于后续分类运维。
    标签 设置安全组的标签信息,便于后续分类运维。
    访问规则 设置访问规则。不同的网络类型差异点如下:
    • 专有网络VPC
      • 入方向:默认已设置针对ICMP协议、SSH 22端口、RDP 3389端口、HTTP 80端口和HTTPS 443端口的入方向规则。
      • 出方向:普通安全组默认全允许;企业安全组默认全拒绝。
    • 经典网络
      • 公网入方向:默认已设置针对ICMP协议、SSH 22端口、RDP 3389端口、HTTP 80端口和HTTPS 443端口的入方向规则。
      • 公网出方向:默认全允许。
      • 入方向:内网入方向,默认全拒绝。
      • 出方向:内网出方向,默认全允许。
    说明 如果需要设置安全组规则,请参见添加安全组规则
  6. 单击创建安全组
    以下实例演示了如何创建一个安全组。创建安全组

执行结果

创建成功后,安全组列表中新增了一个安全组。创建安全组结果

后续步骤

  • 您可以通过添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。具体操作,请参见添加安全组规则
  • 每台ECS实例至少属于一个安全组,您可以根据业务需要,将ECS实例加入一个或多个安全组。具体操作,请参见ECS实例加入安全组
  • 实例设置安全组后如果发现业务无法访问,您需要排查业务服务是否启动、服务端口和安全组规则是否一致等问题。更多信息,请参见安全组常见问题处理