910 阿裏雲技術社區[雲棲]

阿裏雲新手必踩坑係列 - 安全組

文章開始之前，先簡單插播一段阿裏廣告，適合購買阿裏雲產品的新用戶（新購或升級），歡迎大家領取，以支持博客長久發展：

【阿裏雲幸運券領取地址】：https://t.cn/RiW5Psd （阿裏雲幸運券）

【阿裏雲幸運券 - 新用戶用途】：

199元 1核2G，60G硬盤雲服務器： https://t.cn/RSrB8jK （用買網站空間的價錢買獨享IP雲服務器，對SEO更加友好）

另有多種產品首購限額免費，例如OSS等。當然這裏入門相對困難（先學會ECS是第一步）

免費半年體驗，需每天10點參與秒殺，本來博主有推薦碼可以免秒殺，但由於數量隻有區區20枚，截至本地發博已經用完，新推薦碼暫時沒有發放。所以想免費體驗的可以乖乖秒殺。也可以聯係博主QQ453177660，等待新推薦碼到來。

【阿裏雲幸運券 - 新老用戶】：

三種規格套雲服務器購買：https://t.cn/RXVmM4y （每用戶限購一台，同時適合新老用戶）

另外，產品首次升級ECS亦可享受折扣

【阿裏雲幸運券 - 老用戶】：

產品首次升級，可以享受隨機折扣。

對於老用戶，福利遠遠低於新用戶，目前續費折扣，隻有阿裏雲代理商才可以9折續費，但須將自己阿裏雲帳號調整為代理商子賬號下。博主所用推廣為阿裏雲雲大使板塊優惠。歡迎阿裏雲用戶，也加入雲大使進行推廣，為自己增加一點收入，平衡服務器費用支出

*******************分割線************************************************************************************************

回歸話題，經過了上述購買環節，就可以做實驗學習阿裏雲安全組配置了！

相信很多朋友在接觸阿裏雲雲服務器ECS的過程中，經常會遇到一些問題解釋不通。其根本原因在於新手尚不了解阿裏雲，在博主數次在同行技術群裏交流問題的過程中，發現新手幾乎會問同一個問題：安全組

介紹安全組之前，先說說防火牆的意義：

防火牆，原始意義是森林中著火，快速圍繞著火區域伐木，產生一條隔離帶，控製火災範圍在隔離帶之內。用在操作係統中，防火牆防的“火情”就是端口，所有網絡活動，都需要依賴端口，例如用戶訪問我的博客，就使用了“公網入方向的80或者443端口”，防火牆就可以配置這樣一條規則來實現（以windows為例）：“入站規則”，端口寫“80”“443”（常規業務端口相對固定，寫成2條更容易識別），類型TCP,然後啟用防火牆，則該規則生效。如果防火牆未做其他配置，則 80，443之外的端口會全部被禁止訪問。

安全組，顧名思義“安全”“組”，是阿裏雲為了提高服務器安全，從軟件角度開發的一套效果與防火牆很相似的一套安全體係。另外，安全組還有個組的概念，一個安全組可以配置給多台服務器，這對以後服務器的增量管理是個非常占優勢的地方。（博主接觸過的阿裏雲服務器，高達100餘台ECS，逐個配置防火牆的工作量可想而知）

安全組的使用非常簡單，首先需要理解的是公網，私網。如果所購買的阿裏雲屬於經典網絡，其服務器會有三塊網卡，分別用於“公網網卡”、“私網網卡”、“回環網卡”。如果是采用了阿裏雲後來推出的VPC網絡，則隻有一塊看起來像私有網卡的網卡。為了讓本文解釋更加明確，此處博主選擇經典網絡作為解釋案例：

大前提：購買雲服務器時候，阿裏雲已經為我們選擇了默認安全組，目前默認規則是：對公網開啟22，3389，80端口，其他端口默認關閉

假設我們有2台服務器WEB1，DB1用途如下：

WEB1網站服務器，公網訪問 opengps.cn，最終被被轉換訪問到 115.28.xxx.xxx(公網網卡)

DB1數據庫服務器，隻給提供A服務器提供數據庫讀取，例如常見端口：MySQL默認的3306，SQL Server默認的1433等

安全組配置過程如下：

針對A服務器新建安全組：我們命名 WebServersSafeGroup

網絡：公網入方向

端口範圍：80-80，443-443（可以同時配置多個）

協議：TCP（網站所用的http協議位於網絡第七層，均屬於對網絡第四層TCP協議的應用）

最後一步，將網站服務器A，添加到安全組WebSafeGroup

針對DB1服務器新建安全組：我們命名 DBServersSafeGroup

網絡：內網入方向（同一個帳號下的服務器，默認開通互相訪問）

端口範圍：80-80，443-443（可以同時配置多個）

協議：TCP（網站所用的http協議位於網絡第七層，均屬於對網絡第四層TCP協議的應用）

最後一步，將網站服務器A，添加到安全組DBServersSafeGroup

完成這一步，我們可以稍微拓展，博主的網站目前沒有不需要隻需要一台，但將來可能追加一個網站，同樣訪問DB1服務器，則購買新WEB2服務器的時候，隻需要在安全組位置選擇WebServersSafeGroup即可，新手入門往往隻有一台服務器，因此沒必要按照博主進行的這種方式規劃安全組，因此，針對單台服務器承載全部應用的情況，往往操作更簡化

找到默認安全組，添加公網入方向規則：

自己想用的端口，例如81，8080端口，選擇TCP類型，保存，一切完成。

本文初次編輯，尚未配圖，在此先請各位讀者原諒

半小時後，博主過來補圖：

1，安全組在哪找