安全組的使用限制
更新時間 2024-11-12 15:35:53
最近更新時間: 2024-11-12 15:35:53
分享文章
本章節向您介紹安全組的使用限制。
- 為了確保良好的網絡性能體驗,建議一個實例最多關聯5個安全組。
- 默認情況下,一個安全組最多只允許擁有50條安全組規則。
- 默認情況下,一個云服務器或擴展網卡最多只能被添加到5個安全組中,安全組規則取并集生效。
- 建議一個安全組關聯的實例數量不應超過6000個,否則有可能引起安全組性能下降,甚至造成安全組策略失效。
- 在一個安全組中,對于入方向規則來說,源地址是安全組的規則數量+源地址是IP地址組的規則數量+端口是不連續端口號的規則數量≤120條,否則超過數量的安全組規則將不生效。當同時存在IPv4和IPv6類型的安全組規則時,兩種類型的安全組規則單獨計算,即IPv4規則和IPv6規則可以各有120條。對于安全組出方向規則來說,目的地址和端口存在一樣的限制。以安全組Sg-A的入方向IPv4規則為例,下表中提供了部分符合限制條件的規則供您參考。其中,當一條安全組規則同時符合多個限制時,比如規則A02既使用了不連續端口,又使用了安全組作為源地址,此時只占用一條配額。
| 規則編號 | 策略 | 類型 | 協議端口 | 源地址 |
|---|---|---|---|---|
| 規則A01 | 允許 | IPv4 | 全部 | 當前安全組:Sg-A |
| 規則A02 | 允許 | IPv4 | TCP: 22,25,27 | 其他安全組:Sg-B |
| 規則A03 | 允許 | IPv4 | TCP: 80-82 | IP地址組:ipGroup-A |
| 規則A04 | 允許 | IPv4 | TCP: 22-24,25 | IP地址: 192.168.0.0/16 |
- 當您的組網中,ELB實例的監聽器開啟“獲取客戶端IP”功能時,來自ELB的流量將不受網絡ACL和安全組規則的限制。比如規則已明確拒絕來自ELB實例的流量進入后端云主機,此時該規則無法攔截來自ELB的流量,流量依然會抵達后端云主機。
實踐建議
- 請您遵循白名單原則配置安全組規則,即安全組內實例默認拒絕所有外部的訪問請求,通過添加允許規則放通指定的網絡流量。
- 添加安全組規則時,請遵循最小授權原則。例如,放通22端口用于遠程登錄云主機時,建議僅允許指定的IP地址登錄,謹慎使用0.0.0.0/0(所有IP地址)。
- 請您盡量保持單個安全組內規則的簡潔,通過不同的安全組來管理不同用途的實例。如果您使用一個安全組管理您的所有業務實例,可能會導致單個安全組內的規則過于冗余復雜,增加維護管理成本。
- 您可以將實例按照用途加入到不同的安全組內。例如,當您具有面向公網提供網站訪問的業務時,建議您將運行公網業務的Web服務器加入到同一個安全組,此時僅需要放通對外部提供服務的特定端口,例如80、443等,默認拒絕外部其他的訪問請求。同時,請避免在運行公網業務的Web服務器上運行內部業務,例如MySQL、Redis等,建議您將內部業務部署在不需要連通公網的云主機上,并將這些云主機關聯至其他安全組內。
- 對于安全策略相同的多個IP地址,您可以將其添加到一個IP地址組內統一管理,并在安全組內添加針對該IP地址組的授權規則。當IP地址發生變化時,您只需要在IP地址組內修改IP地址,那么IP地址組對應的安全組規則將會隨之變更,無需逐次修改安全組內的規則,降低了安全組管理的難度,提升效率。
- 請您盡量避免直接修改已運行業務的安全組規則。如果您需要修改使用中的安全組規則,建議您先克隆一個測試安全組,然后在測試安全組上進行調試,確保測試安全組內實例網絡正常后,再修改使用中的安全組規則,減少對業務的影響。
- 您在安全組內新添加實例,或者修改安全組的規則后,此時不需要重啟實例,安全組規則會自動生效。
