【云计算的1024种玩法】用好阿里云的安全组

前言

安全组是阿里云针对ECS开发的一个非常好的功能，不过这个漏洞的确也难住了不少新手。很多小伙伴都有反应自己明明搭建好了 Web 服务为什么还是无法访问，然后就不停对 Web 服务软件像 Nginx 进行排错，然后再一个劲的找 iptable 、Firewall 或者 ufw 是否出现了问题。

所以在一开始的时候设置好安全组可以为自己提供非常多的便利之处。

安全组是一种虚拟防火墙，用于设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。每个实例至少属于一个安全组，在创建的时候就需要指定。同一安全组内的实例之间网络互通，不同安全组的实例之间默认内网不通，可以授权两个安全组之间互访。

可以看到在购买 ECS 的时候，网络处有一个安全组的选项，默认是开放了 ICMP 协议（用户 Ping）和 Linux发行版、Windows Server 的默认远程端口。不过 HTTP 的 80 端口和 HTTPS 的 443 端口并没有开启。

如果我们的ECS是要用于标准 Web 用途的，那么一定要勾选这两个选项。

80、443、22和3306基本上能够通吃大部分的ECS端口应用场景了。不过如果我们有更进阶的ECS端口需求就需要再 ECS 开通后进行进一步的设置了。

选择对应实例的 ECS 安全组：

然后我们就可以看到刚才添加的几个安全组了：

值得一提的是 出方向 一般都是全部开放，因为出入方向只要有一个不开放就无法互通了。

不多说，我们点击上方的 快速创建规则 来创建规则：

针对常见端口，例如 MySQL 的 3306 我们就只要打个勾，可以同时勾选多个内容，如果我们还要再添加一个非常规端口，例如开放 52222 端口，那么我们要填写 52222/52222 而不是填写一个 52222 就够了的。

授权对象就是可以访问的IP，全部IP可访问就是 0.0.0.0/0 ，如果能明确访问者的明确IP就尽量填写访问者IP，当然开放性的访问自然是全体咯。

点击确定以后规则就会生效了：

添加完 ECS 的安全组端口后，如果相关服务无法访问或者打开我们就可以首先排除安全组了，而不是其他都没有错却偏偏忘记了没开放安全组。

最后更新：2017-10-29 00:04:16