企业安全组
与普通安全组相比,企业安全组能够容纳更多的ECS实例、弹性网卡和私网IP地址,完全通过安全组规则管理联通策略。企业安全组适用于对运维效率、ECS实例规格以及计算节点规模有更高需求的场景。
安全组对比
普通安全组和企业安全组的差异如下表所示。普通安全组详情,请参见安全组概述。
| 对比项 | 普通安全组 | 企业安全组 |
|---|---|---|
| 支持所有实例规格 | 是 | 否,只支持专有网络VPC类型的实例规格 |
| 支持经典网络 | 是 | 否 |
| 支持设置规则优先级 | 是 | 否 |
| 支持授权给其他安全组 | 是 | 否 |
| 支持添加允许访问的安全组规则 | 是 | 是 |
| 支持添加拒绝访问的安全组规则 | 是 | 否,企业安全组默认拒绝任何访问请求 |
| 支持绑定弹性网卡到任意实例规格 | 否,实例网络类型必须是专有网络VPC | 否,实例网络类型必须是专有网络VPC |
| 能容纳的私网IP地址数量 | 2000 | 65536 |
| 默认支持同一个安全组内ECS实例内网互通 | 是 | 否,需要您单独添加安全组规则 |
计费
使用企业安全组不会产生额外计费。
使用限制
企业安全组的使用限制及配额,请参见使用限制安全组章节。
除上述限制外,使用企业安全组还需满足下列要求:
- 2019年5月30日之前创建的ECS实例不可以加入企业安全组。
- ECS实例的网络类型必须是专有网络VPC。
- ECS实例不能同时加入普通安全组和企业安全组。
- 弹性网卡不能同时加入普通安全组和企业安全组。
注意事项
通过ECS控制台和API创建一个企业安全组时,出方向的安全组规则设置如下:
- 通过ECS控制台创建的企业安全组自动添加了默认允许所有访问。建议您保留该设置,否则可能引起网络连通性问题。
- 通过API创建的企业安全组没有添加任何安全组规则,默认拒绝所有访问,建议您自行添加。
控制台操作
您可以参见下表中的描述在ECS控制台上使用企业安全组。
| ECS控制台使用流程 | 说明 | 相关文档 |
|---|---|---|
| 创建企业安全组 | 安全组类型选择企业级安全组。 | 创建安全组 |
| 添加安全组规则 | 企业安全组等同于通信白名单,只支持添加允许访问的规则,并且授权对象只能是IP地址段而不能是安全组。规则之间不存在优先级。 | 添加安全组规则 |
| ECS实例加入到企业安全组 | 一台ECS实例不能同时加入普通安全组和企业安全组。 | ECS实例加入安全组 |
| 弹性网卡加入到企业安全组 | 如果弹性网卡在普通安全组中,通过修改弹性网卡加入到企业安全组中。 | 修改弹性网卡 |
| 将弹性网卡绑定到ECS实例 | ECS实例绑定弹性网卡后,安全组规则即开始生效。 | 绑定弹性网卡 |
| 管理企业安全组 | 如添加标签、修改名称与描述、管理企业安全组内的ECS实例等。 | |
| 管理企业安全组规则 | 在运营应用的过程中,您可以根据实际需求修改安全组规则。 |
API操作
您可以调用以下API使用企业安全组。
| API | 说明 |
|---|---|
| CreateSecurityGroup | 将请求参数SecurityGroupType的取值设置为enterprise。
说明 创建企业安全组之前,您需要确保有可用的专有网络VPC与虚拟交换机。
|
| AuthorizeSecurityGroup | 添加一条入方向上允许访问的企业安全组规则,授权对象只能是IP地址段,不能是安全组。
企业安全组等同于白名单,入方向安全组规则设置如下:
|
| AuthorizeSecurityGroupEgress | 添加一条出方向上的企业安全组规则。
说明 建议您添加一条出方向上允许所有访问的安全组规则。
|
| JoinSecurityGroup | 将专有网络VPC类型ECS实例入企业安全组。 |
| ModifyNetworkInterfaceAttribute | 如果弹性网卡在普通安全组中,通过ModifyNetworkInterfaceAttribute可以将弹性网卡加入到企业安全组。 |
| AttachNetworkInterface | 将已加入企业安全组的弹性网卡挂载到ECS实例上。 |
| DescribeSecurityGroups | 查看您在某一地域下已创建的企业安全组列表。 |
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论