阿里云新手必踩坑系列 - 安全组

  1. 云栖社区>
  2. 博客>
  3. 正文

阿里云新手必踩坑系列 - 安全组

季雨林 2017-08-29 08:49:50 浏览3791
展开阅读全文

文章开始之前,先简单插播一段阿里广告,适合购买阿里云产品的新用户(新购或升级),欢迎大家领取,以支持博客长久发展:

【阿里云幸运券领取地址】: http://wzfw.ltd/qjyl      (阿里云幸运券)

【阿里云幸运券 - 新用户用途】:

199元  1核2G,60G硬盘云服务器:  http://wzfw.ltd/qecs199 (用买网站空间的价钱买独享IP云服务器,对SEO更加友好)

另有多种产品首购限额免费,例如OSS等。当然这里入门相对困难(先学会ECS是第一步)

免费半年体验,需每天10点参与秒杀,本来博主有推荐码可以免秒杀,但由于数量只有区区20枚,截至本地发博已经用完,新推荐码暂时没有发放。所以想免费体验的可以乖乖秒杀。也可以联系博主QQ453177660,等待新推荐码到来。

【阿里云幸运券 - 新老用户】:

三种规格套云服务器购买:http://wzfw.ltd/qecs330 (每用户限购一台,同时适合新老用户)

另外,产品首次升级ECS亦可享受折扣

 使用幸运券可参与抽奖,首购ECS大于百元必中 http://wzfw.ltd/jiang 


*******************分割线************************************************************************************************

回归话题,经过了上述购买环节,就可以做实验学习阿里云安全组配置了!

        相信很多朋友在接触阿里云云服务器ECS的过程中,经常会遇到一些问题解释不通。其根本原因在于新手尚不了解阿里云,在博主数次在同行技术群里交流问题的过程中,发现新手几乎会问同一个问题:安全组

介绍安全组之前,先说说防火墙的意义:

防火墙,原始意义是森林中着火,快速围绕着火区域伐木,产生一条隔离带,控制火灾范围在隔离带之内。用在操作系统中,防火墙防的“火情”就是端口,所有网络活动,都需要依赖端口,例如用户访问我的博客,就使用了“公网入方向的80或者443端口”,防火墙就可以配置这样一条规则来实现(以windows为例):“入站规则”,端口写“80”“443”(常规业务端口相对固定,写成2条更容易识别),类型TCP,然后启用防火墙,则该规则生效。如果防火墙未做其他配置,则 80,443之外的端口会全部被禁止访问。

安全组,顾名思义“安全”“组”,是阿里云为了提高服务器安全,从软件角度开发的一套效果与防火墙很相似的一套安全体系。另外,安全组还有个组的概念,一个安全组可以配置给多台服务器,这对以后服务器的增量管理是个非常占优势的地方。(博主接触过的阿里云服务器,高达100余台ECS,逐个配置防火墙的工作量可想而知)

安全组的使用非常简单,首先需要理解的是公网,私网。如果所购买的阿里云属于经典网络,其服务器会有三块网卡,分别用于“公网网卡”、“私网网卡”、“回环网卡”。如果是采用了阿里云后来推出的VPC网络,则只有一块看起来像私有网卡的网卡。为了让本文解释更加明确,此处博主选择经典网络作为解释案例:

大前提:购买云服务器时候,阿里云已经为我们选择了默认安全组,目前默认规则是:对公网开启22,3389,80端口,其他端口默认关闭

假设我们有2台服务器WEB1,DB1用途如下:

WEB1网站服务器,公网访问 opengps.cn,最终被被转换访问到 115.28.xxx.xxx(公网网卡)

DB1数据库服务器,只给提供A服务器提供数据库读取,例如常见端口:MySQL默认的3306,SQL Server默认的1433等

安全组配置过程如下:

针对A服务器新建安全组:我们命名 WebServersSafeGroup

网络:公网入方向

端口范围:80-80,443-443(可以同时配置多个)

协议:TCP(网站所用的http协议位于网络第七层,均属于对网络第四层TCP协议的应用)

最后一步,将网站服务器A,添加到安全组WebSafeGroup


针对DB1服务器新建安全组:我们命名 DBServersSafeGroup

网络:内网入方向(同一个帐号下的服务器,默认开通互相访问)

端口范围:80-80,443-443(可以同时配置多个)

协议:TCP(网站所用的http协议位于网络第七层,均属于对网络第四层TCP协议的应用)

最后一步,将网站服务器A,添加到安全组DBServersSafeGroup

完成这一步,我们可以稍微拓展,博主的网站目前没有不需要只需要一台,但将来可能追加一个网站,同样访问DB1服务器,则购买新WEB2服务器的时候,只需要在安全组位置选择WebServersSafeGroup即可,新手入门往往只有一台服务器,因此没必要按照博主进行的这种方式规划安全组,因此,针对单台服务器承载全部应用的情况,往往操作更简化

找到默认安全组,添加公网入方向规则:

自己想用的端口,例如81,8080端口,选择TCP类型,保存,一切完成。


本文初次编辑,尚未配图,在此先请各位读者原谅

半小时后,博主过来补图:

1,安全组在哪找


2,安全组创建



3,安全组配置



4,添加实例,(实例就是云服务器ECS)







网友评论

登录后评论
0/500
评论
季雨林
+ 关注