【雲計算的1024種玩法】用好阿裏雲的安全組

前言

安全組是阿裏雲針對ECS開發的一個非常好的功能，不過這個漏洞的確也難住了不少新手。很多小夥伴都有反應自己明明搭建好了 Web 服務為什麼還是無法訪問，然後就不停對 Web 服務軟件像 Nginx 進行排錯，然後再一個勁的找 iptable 、Firewall 或者 ufw 是否出現了問題。

所以在一開始的時候設置好安全組可以為自己提供非常多的便利之處。

安全組是一種虛擬防火牆，用於設置單台或多台雲服務器的網絡訪問控製，它是重要的網絡安全隔離手段，用於在雲端劃分安全域。每個實例至少屬於一個安全組，在創建的時候就需要指定。同一安全組內的實例之間網絡互通，不同安全組的實例之間默認內網不通，可以授權兩個安全組之間互訪。

可以看到在購買 ECS 的時候，網絡處有一個安全組的選項，默認是開放了 ICMP 協議（用戶 Ping）和 Linux發行版、Windows Server 的默認遠程端口。不過 HTTP 的 80 端口和 HTTPS 的 443 端口並沒有開啟。

如果我們的ECS是要用於標準 Web 用途的，那麼一定要勾選這兩個選項。

80、443、22和3306基本上能夠通吃大部分的ECS端口應用場景了。不過如果我們有更進階的ECS端口需求就需要再 ECS 開通後進行進一步的設置了。

選擇對應實例的 ECS 安全組：

然後我們就可以看到剛才添加的幾個安全組了：

值得一提的是 出方向 一般都是全部開放，因為出入方向隻要有一個不開放就無法互通了。

不多說，我們點擊上方的 快速創建規則 來創建規則：

針對常見端口，例如 MySQL 的 3306 我們就隻要打個勾，可以同時勾選多個內容，如果我們還要再添加一個非常規端口，例如開放 52222 端口，那麼我們要填寫 52222/52222 而不是填寫一個 52222 就夠了的。

授權對象就是可以訪問的IP，全部IP可訪問就是 0.0.0.0/0 ，如果能明確訪問者的明確IP就盡量填寫訪問者IP，當然開放性的訪問自然是全體咯。

點擊確定以後規則就會生效了：

添加完 ECS 的安全組端口後，如果相關服務無法訪問或者打開我們就可以首先排除安全組了，而不是其他都沒有錯卻偏偏忘記了沒開放安全組。

最後更新：2017-10-29 00:04:16