安全组类似防火墙功能，是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器实例提供访问策略。安全组创建后，您可以设置安全组的出方向和入方向规则，当实例加入该安全组后，即受到这些访问规则的保护。

更多安全组的功能说明，请参见《专有网络 VPC 用户指南》。

图11-1 安全组配置流程

操作步骤

(1)单击“云服务”页签，选择“网络”分类下的“专有网络 VPC”，进入网络控制台。

(2)在左侧导航栏选择“安全组”，进入安全组页面。

(3)单击右上角的“新建安全组”，弹出创建安全组窗口。

(4)完成以下参数配置后，单击“确定”，完成创建安全组操作

操作结果

创建成功的安全组显示于安全组列表中。

后续操作

创建安全组规则。安全组完成创建后，其中并没有安全组规则，您需要创建安全组规则，对安全组内的云服务器实例进行网络访问控制。

(1)单击“云服务”页签，选择“网络”分类下的“专有网络 VPC”，进入网络控制台。

(2)在左侧导航栏选择“安全组”，进入安全组页面。

(3)单击安全组对应操作列的“克隆”，弹出克隆安全组窗口。

(4)配置安全组名称后，单击“确定”，完成克隆安全组操作。

限制与指导

删除安全组前，请先解除该安全组与其它安全组规则的关联，否则无法进行删除操作。

操作步骤

(1)单击“云服务”页签，选择“网络”分类下的“专有网络 VPC”，进入网络控制台。

(2)在左侧导航栏选择“安全组”，进入安全组页面。

(3)单击安全组对应操作列的“删除”，弹出删除窗口。

(4)确认要删除安全组的信息无误后，单击“确定”，完成删除安全组。

11.3.1.1 入方向规则

1. 简介

外部访问安全组内实例的指定协议和端口时，若请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。

因此，如果没有特殊需求，您一般不用在入方向配置策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。

2. 添加入方向规则

(1)单击“云服务”页签，选择“网络”分类下的“专有网络 VPC”，进入网络控制台。

(2)在左侧导航栏选择“安全组”，进入安全组页面。

(3)单击安全组对应操作列的“配置规则”，进入“入方向规则”页面。

(4)单击“添加入方向规则”，弹出添加入方向规则窗口。

(5)完成以下参数配置后，单击“确定”。

3. 快速添加入方向规则

(1)登录运营中心。

(2)单击“云服务”页签，选择“全部云产品 > 网络 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击安全组对应操作列的“配置规则”，进入“入方向规则”页面。

(5)单击“快速添加入方向规则”，弹出快速添加入方向规则窗口。

(6)完成以下参数配置后，单击“确定”。

11.3.1.2 出方向规则

1. 简介

安全组内的实例访问外部的指定协议和端口时，在出方向中配置目的地址匹配所有IP地址的规则，并且策略为“允许”时，允许所有的内部请求出去。

2. 添加入方向规则

(1)登录运营中心。

(2)单击“云服务”页签，选择“全部云产品 > 网络 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击安全组对应操作列的“配置规则”，进入“入方向规则”页面。

(5)单击“出方向规则”页签，进入出方向规则页签页面。

(6)单击“添加出方向规则”，弹出添加出方向规则窗口。

(7)完成以下参数配置后，单击“确定”。

3. 快速添加出方向规则

(1)登录运营中心。

(2)单击“云服务”页签，选择“全部云产品 > 网络 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击安全组对应操作列的“配置规则”，进入“入方向规则”页面。

(5)单击“出方向规则”页签，进入出方向规则页签页面。

(6)单击“添加出方向规则”，弹出添加出方向规则窗口。

(7)完成以下参数配置后，单击“确定”

操作步骤

(1)单击“云服务”页签，选择“网络”分类下的“专有网络 VPC”，进入网络控制台。

(2)在左侧导航栏选择“安全组”，进入安全组页面。

(3)单击安全组对应操作列的“配置规则”，进入“入方向规则”页面。

(4)在“入方向规则”页面或“出方向规则”页面，单击待删除规则对应操作列的“删除”，弹出删除窗口。

(5)确认要删除安全组规则信息无误后，单击“确定”，完成删除安全组规则操作。

11.4.1 实例加入安全组

简介

创建安全组后，您可以将云服务器实例关联该安全组，从而使这些实例受到安全组的保护。

操作步骤

(1)单击“云服务”页签，选择“网络”分类下的“专有网络 VPC”，进入网络控制台。

(2)在左侧导航栏选择“安全组”，进入安全组页面。

(3)单击目标安全组“操作”列的“管理实例”，进入关联实例页面。

(4)在“云服务器”页签，单击“关联实例”，弹出添加云服务器实例窗口。

(5)勾选需要关联的云服务器实例后，单击“确定”。

11.4.2 实例移出安全组

限制与指导

若云服务器实例只加入了一个安全组，则不支持进行移出安全组操作。

操作步骤

(1)单击“云服务”页签，选择“网络”分类下的“专有网络 VPC”，进入网络控制台。

(2)在左侧导航栏选择“安全组”，进入安全组页面。

(3)单击目标安全组“操作”列的“管理实例”，进入关联实例页面。

(4)在“云服务器”页签，单击目标云服务器实例“操作”列的“移出”，弹出移出安全组窗口。

(5)单击“确定”，将实例移出该安全组。