安全组FAQ
更新时间:2022-12-07
- 云服务器加入安全组后,可以变更安全组吗?
- 一个账户能拥有多少个安全组?多少条安全组规则?云服务器可以选择关联多少个安全组?
- 安全组服务如何计费?
- 安全组规则的优先级是如何定义的?
- 为什么为云服务器网卡配置的安全组规则不生效?
- 无法访问公有云某些端口时怎么办?
- 变更安全组规则时,是否对原有流量实时生效?
- 为什么端口在安全组中放通了,但依然无法访问?
- 使用了安全组是否意味着不可以使用iptables?
- 云服务器已经全部移出,为什么安全组无法删除?
- 添加安全组规则时,"源地址"为什么无法选择其他安全组?
云服务器加入安全组后,可以变更安全组吗?#
可以。为云服务器更换安全组,本质上是为云服务器绑定的网卡更换安全组,您可以参考更新网卡的安全组策略完成操作。
一个账户能拥有多少个安全组?多少条安全组规则?云服务器可以选择关联多少个安全组?#
- 不限制单个账户的安全组个数。
- 云服务器每张网卡支持关联安全组的最大数量为5。
- 一个安全组允许添加的最大规则数量为200。
安全组服务如何计费?#
当前安全组服务不收取费用。
安全组规则的优先级是如何定义的?#
当前安全组规则优先级的取值范围为1 ~ 100,数字越小代表优先级越高。
在添加安全组规则时,默认优先级是1,即最优先。在安全组规则优先级相同的情况下,"拒绝"策略优先级高于"允许"策略。
为什么为云服务器网卡配置的安全组规则不生效?#
建议按照以下几个方向检查安全组配置是否有误:
- 安全组规则方向是否设置错误,例如将入方向规则添加到出方向规则下。
- 安全组规则协议类型是否选择正确。
- 对应端口为高危端口,在部分地区部分运营商无法访问,建议您修改敏感端口为其它非高危端口来承载业务。
- 对应端口在云服务器中未启用。
无法访问公有云某些端口时怎么办?#
问题现象: 访问公有云特定端口,在部分地区部分运营商无法访问,而其它端口访问正常。
问题分析: 部分运营商判断如下表的端口为高危端口,默认被屏蔽。
| 协议 | 端口 |
|---|---|
| 断续器 | 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996 |
| 统一数据库 | 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996 |
解决方案: 建议您修改敏感端口为其它非高危端口来承载业务。
变更安全组规则时,是否对原有流量实时生效?#
安全组是有状态的。
安全组使用连接跟踪来跟踪有关进出网卡的流量信息,在变更安全组规则或使用该安全组创建/删除网卡时,都会自动清除该安全组下所有网卡入方向的连接跟踪,此时,流入或流出网卡的流量会被当做新的连接,需要重新匹配相应出入方向的安全组规则,以保证规则能立即生效,从而保障流入网卡的流量的安全。
为什么端口在安全组中放通了,但依然无法访问?#
- 实例绑定的其他安全组拒绝了该端口的访问,且拒绝的优先级更高。
- 设置了其他访问控制,如防火墙,阻挡了该端口的访问。
使用了安全组是否意味着不可以使用iptables?#
否。安全组和iptables可以同时使用,您的流量会经过两次过滤,流量的走向如下:
- 出方向:实例上的进程 > iptables > 安全组。
- 入方向:安全组 > iptables > 实例上的进程。
云服务器已经全部移出,为什么安全组无法删除?#
- 创建私有网络时,火山引擎平台会自动创建一个默认安全组,默认安全组不支持删除。
- 安全组支持关联云服务器、负载均衡、辅助网卡等,请确认待删除的安全组已解关联所有实例。若安全组存在关联的实例,请先将关联实例移出安全组,再执行安全组删除操作。
添加安全组规则时,"源地址"为什么无法选择其他安全组?#
因为您使用的是子账号,且该子账号未配置私有网络的全局权限。请您使用主账号进行操作或使用主账号为该子账号授权。