将您的基础架构放在云上意味着您可以接触到全球的许多人。但是,这也意味着不怀好意的人可以访问您的服务。保护您的云网络非常重要。阿里云提供虚拟专用网络 (VPC),这是一个安全隔离的私有云,将您的弹性计算服务 (ECS) 实例包含在公有云中。您可以通过配置安全组,从公网公开访问VPC,保护流量。
Virtual Private Cloud (VPC) 是您可以完全控制的私有网络。您可以指定网段,并配置路由表和网关。您可以部署阿里云资源,例如ECS实例或负载均衡(SLB)实例。您可以拥有多个 VPC 来建立有关云实例的一些策略。这意味着您可以为 Web 服务器创建一个 VPC,为数据库服务器创建另一个 VPC。
安全组可以看作是一个虚拟防火墙,它提供网络协议、端口和源 IP 流量的状态数据包检测和数据包过滤,以允许或拒绝对 ECS 实例的访问,以提高安全性。在创建ECS实例时,必须选择安全组,因为安全组是安全隔离的重要手段。
您应该将安全组视为白名单。在创建安全组时,默认情况下会将一些默认规则添加到安全组中。您可以维护安全组,也可以手动添加和修改安全组的规则,实现更细粒度的流量控制。安全组具有一些特征。每个ECS实例必须至少属于一个安全组,但可以同时添加到多个安全组中。安全组有两种分类:
将实例添加到安全组时,还必须遵循一些规则:
如果要创建阿里云VPC,则需要一个阿里云账号。如果您还没有优惠券,可以在 九河云活动 期间获得优惠券。
登录到您的云帐户后,转到左侧面板上的 Virtual Private Cloud ,单击 _Networking 和 CDN_,然后单击 _Virtual Private Network_:
您可以查看 VPC 概览以及一些已创建的信息,例如 IPv4 网段 或每个 VPC 上的 vSwitch 和 云实例 的数量。在创建 VPC 之前选择适当的区域:
您可以创建新的 VPC。您需要指定 VPC 和 IPv4 CIDR 块的名称。您可以分配 IPv6,也可以不分配。如前所述,在创建 VPC 时,您还需要创建一个 vSwitch。在创建 vSwitch 期间,您必须选择您所在区域的区域。如果您已经创建了一些 ECS 实例,如果您希望它们使用新的 vSwitch,请确保选择它们所在的可用区:
您可以在 VPC 概述页面上查看新 VPC 及其详细信息:
现在,您的 VPC 已创建。您可以创建一个安全组,用于在创建实例期间保护您的 VPC。
如果要创建安全组,请转到 ECS 面板:
现在,将左侧面板导航到 “网络和安全 ”,然后单击 “安全组”
在我们的例子中,我们已经创建了一些安全组。让我们通过选择选项创建一个新的。正如我们在安全组部分中所解释的,您可以在创建过程中维护或编辑默认规则。此外,默认情况下会创建基本安全组:
您可以更改一些值,例如高级安全组的类型和传出规则。您应该为安全组提供指示性名称和适当的描述。
您可以为某些特定场景或 ECS 实例角色创建多个安全组。例如,您可以仅为仅允许端口 、 和 的 Web 服务器创建安全组。您可以删除 ICMP 的规则,以便您的实例不会收到任何 ICMP 请求(用于 ping)。配置安全组是定义默认操作或规则的时刻,这些操作或规则应用于过滤将应用安全组的 VPC 内 ECS 实例的出口和入口流量。现在是战略性地定义默认规则的时刻,但您可以稍后添加特定规则。
22
80
443
默认情况下,安全组上的出站规则允许从服务器到外部网络的所有流量:
如果您对已定义的所有规则进行了预览:
只需在完成配置后验证安全组的创建。您将在列表中看到默认安全组。默认情况下,没有与VPC或安全性相关的ECS实例:
我们将创建一个新实例,将 ECS 实例集成到新创建的 VPC 和安全组中。在左侧面板上,滚动到“ 实例和映像 ”,然后选择“_Instances_”。然后,创建一个新的 ECS 实例:
选择具有 CPU 和内存的实例规格:
选择操作系统和磁盘大小:
配置实例联网。选择我们创建的 VPC。默认情况下,它将选择 vSwitch 以及创建并链接到 VPC 的安全组:
您需要配置如何访问您的 ECS(密码和公钥):
您可以转到下一步:
您将看到对 ECS 配置和订单的审查:
系统将要求您返回控制台或其他页面:
您可以返回 ECS 实例列表查看是否已创建。您可以在 ECS 实例列表中看到它:
您可以通过查看安全组信息来检查实例是否链接到安全组:
您的 VPC 将显示存在一个实例:
您可以看到您的新实例位于 VPC 和已创建的安全组中。
通过ECS控制台在VPC内创建ECS实例时,如果该地域的当前账号下没有创建其他安全组,则会创建默认安全组。默认安全组为基础安全组,网络类型与ECS实例相同。
