说明
安全组功能目前处于灰度阶段,请通过售前架构师提交开通申请 ,感谢您的支持。
黑石物理服务器的安全组功能通过主机安全组件(云镜)设置 iptables 规则实现,其实现方式为创建 iptables 自定义链。一个安全组对应一条自定义链,通过将安全组规则写入到相应的自定义链中,实现网络访问控制功能。
注意
在物理服务器上对主机安全组件(云镜)和 iptables 的修改、删除等操作将会影响安全组功能,为确保安全组的正常使用,请通过安全组控制台进行规则管理。
为了保障平台管理下发等渠道需要,安全组规则下发时,将会默认增加对下发渠道的放通规则,如"**accept"。为了支持安全组规则的状态化管理,iptables 默认添加以下两条命令:
iptables -A OUTPUT -m state -state ESTABLISHED -j ACCEPT。
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT 。
注意
由于某些 Linux 操作系统(例如 tlinux1.2)的 iptables 功能限制,该操作系统上安全组规则无法实现状态化管理,因此您需要在出入方向均配置访问规则才能正确放通流量。其它 Linux 操作系统上的功能正常,支持安全组规则的状态化管理。
安全组规则
安全组规则可控制允许到达与安全组相关联的物理服务器的入站流量,以及允许离开物理服务器的出站流量(从上到下依次筛选规则)。默认情况下,新建安全组时,将 All Drop (拒绝)所有流量,物理服务器绑定一个无规则的安全组拒绝所有流量。
对于安全组的每条规则,您可以指定以下几项内容:
类型:您可以选择系统规则模板,或者自定义规则。
源 IP 或目标 IP:流量的源(入站规则) 或目标(出站规则),请根据实际需求,选择指定的 IP。
用 CIDR 表示法,指定的单个 IP 地址。
用 CIDR 表示法,指定的 IP 地址范围(例如: 203.0.113.0/24 )。
协议类型:选择协议类型,
协议端口:填写端口范围。
策略:允许或拒绝。
安全组优先级
物理服务器绑定多个安全组时的优先级为:数字越小,优先级越高。
安全组内规则的优先级为:位置越上,优先级越高。
物理服务器绑定安全组时,如果该安全组内无任何规则,将默认拒绝所有流量。
限制
安全组区分地域,物理服务器只能与相同地域的安全组进行绑定。
安全组仅适用于安装了主机安全组件(云镜)的非 Windows 操作系统物理服务器。
每个用户在每个地域下最多可设置50个安全组。
一个安全组入站方向或出站方向的访问策略,各最多可设定40条。
一个物理服务器可以加入多个安全组,一个安全组可同时关联多个物理服务器。
安全组仅能控制物理服务器 OS 层面流量,无法控制虚拟机、docker 流量,该部分流量默认放通。
功能描述 | 数量 |
安全组 | 50个/地域 |
访问策略 | 40条/入站方向,40条/出站方向 |
物理服务器关联安全组个数 | 5个 |
安全组内物理服务器的个数 | 无限制 |
操作指南
您可以使用黑石控制台进行创建、查看、更新和删除等操作,管理安全组及安全组规则。同时我们还提供典型场景配置案例供您参考。
创建安全组
1.登录黑石控制台单击导航条【黑石物理服务器】,进入物理服务器控制台。
2.单击左导航栏中【安全组】选项卡。
3.单击【新建】。
4.输入安全组的名称(例如:my-security-group)并提供说明。
5.单击【确定】,完成创建。
向安全组中添加规则
1.登录黑石控制台单击导航条【黑石物理服务器】,进入物理服务器控制台。
2.单击左导航栏中【安全组】选项卡。
3.选择需要更新的安全组,单击操作栏中的【编辑规则】。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。
4.在入/出站规则选项卡上,单击【修改】。从选项卡中选择用于入/出站规则的选项,然后填写所需信息,完成后,单击【保存】。
配置物理服务器关联安全组
第一种方式
1.登录黑石控制台单击导航条【黑石物理服务器】,进入物理服务器控制台。
2.单击左导航栏中【物理服务器】选项卡。
3.选择需要配置的物理服务器,单击【物理服务器 ID】,从物理服务器详情选项卡中选择【安全组】,在已绑定安全组区域单击【编辑】。
4.单击【新增】,在绑定安全组对话框中,从列表中选择一个或多个安全组,单击【确定】。
5.在已绑定安全组区域单击【保存】。
第二种方式
1.登录黑石控制台单击导航条【黑石物理服务器】,进入物理服务器控制台。
2.单击左导航栏中【安全组】选项卡。
3.选择需要关联的安全组,单击操作栏中的【管理实例】。
4.单击【关联】,在新增关联物理服务器对话框中,从列表中选择一个或多个物理服务器,单击【确定】。
导入导出安全组规则
1.登录黑石控制台单击导航条【黑石物理服务器】,进入物理服务器控制台。
2.单击左导航栏中【安全组】选项卡。
3.选择需要更新的安全组单击【安全组 ID】。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。
4.从选项卡中选择用于入/出站规则的选项,然后单击【导入】。如原来您已有规则,则推荐您先导出现有规则,新规则导入将覆盖原有规则;如原来为空规则,则可先导出模板,编辑好模板文件后,再将文件导入。
克隆安全组
1.登录黑石控制台单击导航条【黑石物理服务器】,进入物理服务器控制台。
2.单击左导航栏中【安全组】选项卡。
3.单击列表中安全组对应操作栏中更多【克隆】。
4.在克隆安全组对话框中,选定目标地域,填入新名称,单击【确定】。若新安全组需关联物理服务器 ,请重新进行安全组配置。
删除安全组
1.登录黑石控制台单击导航条【黑石物理服务器】,进入物理服务器控制台。
2.单击左导航栏中【安全组】选项卡。
3.单击列表中安全组对应操作栏中更多【删除】。
4.在删除安全组对话框中,单击【删除】。若当前安全组有关联的物理服务器,则需要先解除安全组才能进行删除。
修复指引
物理服务器上的主机安全组件(云镜)和 iptables 的异常将会影响安全组功能,您可以通过查看安全组的状态描述确定相应修复方法。
主机安全组件异常
安全组规则异常
表示物理服务器上的 iptables 规则顺序与安全组规则顺序不一致,您可以通过单击【修复规则】解决该问题。
操作系统尚未安装主机安全组件
安全组优先级不一致
表示物理服务器上的 iptables 自定义链优先级与安全组优先级不一致,您可以通过单击【修复优先级】解决该问题。
无法提交任务给主机安全组件
导致该异常状态的因素较为复杂,请直接联系售后报障处理。
