如何配置云堡垒机的安全组？_云堡垒机 CBH_常见问题_购买升级_购

背景介绍

安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器、云堡垒机等提供访问策略。

为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。

• 云堡垒机实例可与纳管的资源共用一个安全组，各自取用安全组规则，互不影响。
• 每个用户有一个默认安全组Sys-default，用户可选择Sys-default安全组，根据需要添加相应安全组规则。用户也可选择自定义安全组，新建安全组并添加合理安全组规则。
• 云堡垒机实例创建成功后，安全组不能更改，但相应安全组规则可以修改。修改安全组规则后，需重启云堡垒机新规则才生效。

配置云堡垒机安全组

1. 登录云堡垒机实例管理控制台。
2. 单击“购买云堡垒机”，进入“购买云堡垒机实例”页面。
3. 在“安全组”参数选项框右侧，单击“管理安全组”，跳转至安全组配置页面，创建安全组和添加安全组规则。
   

   也可在“安全组”选项框内选择合理配置的安全组。

4. 单击“创建安全组”，创建一个新的安全组，详细指导请参见创建安全组。
5. 单击“操作”列中的“配置规则”，为安全组添加安全组规则，详细指导请参见添加安全组规则。
6. 选择“入方向”页签，单击“添加规则”。同理，可以添加出方向规则。

   根据云堡垒机使用组网场景配置安全规则，参考表1配置。

7. 完成安全组规则配置，返回“购买云堡垒机服务”页面，选择指定安全组，合理配置其他参数后创建实例。

配置安全组不合理，运维故障场景

安全组配置不合理，在使用云堡垒机时可能会出现以下故障：

1. 实例许可证认证错误
   • 实例创建失败，提示“Lincense激活失败”，可能未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证；
   • 登录云堡垒机提示License过期，未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证。
2. 登录云堡垒机系统错误
   • 云堡垒机系统登录页面载入失败，提示“服务器响应时间过长”，可能未配置入方向TCP协议443端口；
   • 云堡垒机系统页面无法正常显示，可能未配置入方向TCP协议443端口，导致Web浏览器不能正常登录系统。
3. 主机资源验证错误
   • 在资源中添加主机时，提示“主机不可达”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器；
   • 添加主机时验证账户密码，提示“主机不可达”，可能未配置入方向ICMP协议，导致外网ping不通主机资源。
4. 云堡垒机访问资源错误
   • 在登录云资源时，提示“连接错误”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器；
   • 使用云堡垒机登录云主机黑屏，无法正常显示，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器；
   • 云堡垒机使用过程中上报514错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T_514）”，可能未配置入方向TCP协议2222端口。