V2dn

阿里云新手必踩坑系列 - 安全组

文章开始之前,先简单插播一段阿里广告,适合购买阿里云产品的新用户(新购或升级),欢迎大家领取,以支持博客长久发展:


阿里云幸运券领取地址: http://t.cn/RiW5Psd (阿里云幸运券)


阿里云幸运券 - 新用户用途: 199 元 1 核 2G 云服务器: http://t.cn/RSrB8jK (用买网站空间的价钱买独享 IP 云服务器)


另有多种产品首购限额免费,例如 OSS 等。当然这里入门相对困难(先学会 ECS 是第一步)


免费半年体验,需每天 10 点参与秒杀,本来博主有推荐码可以免秒杀,但由于数量只有区区 20 枚,截至本地发博已经用完,新推荐码暂时没有发放。所以想免费体验的可以乖乖秒杀。也可以联系博主 QQ453177660,等待新推荐码到来。


阿里云幸运券 - 新老用户


三种规格套云服务器购买: http://t.cn/RXVmM4y (每用户限购一台,同时适合新老用户)


另外,产品首次升级 ECS 亦可享受折扣


阿里云幸运券 - 老用户


产品首次升级,可以享受随机折扣。


对于老用户,福利远远低于新用户,目前续费折扣,只有阿里云代理商才可以 9 折续费,但须将自己阿里云帐号调整为代理商子账号下。 博主所用推广为阿里云云大使板块优惠。欢迎阿里云用户,也加入云大使进行推广,为自己增加一点收入,平衡服务器费用支出


==================================分割线==================================


回归话题,经过了上述购买环节,就可以做实验学习阿里云安全组配置了!


相信很多朋友在接触阿里云云服务器 ECS 的过程中,经常会遇到一些问题解释不通。
其根本原因在于新手尚不了解阿里云,在博主数次在同行技术群里交流问题的过程中,发现新手几乎会问同一个问题:安全组


介绍安全组之前,先说说防火墙的意义:
防火墙,原始意义是森林中着火,快速围绕着火区域伐木,产生一条隔离带,控制火灾范围在隔离带之内。
用在操作系统中,防火墙防的“火情”就是端口,所有网络活动,都需要依赖端口。 例如用户访问我的博客,就使用了“公网入方向的 80 或者 443 端口”,防火墙就可以配置这样一条规则来实现(以 windows 为例):“入站规则”,端口写“ 80 ”、“ 443 ”(常规业务端口相对固定,写成 2 条更容易识别),类型 TCP,然后启用防火墙,则该规则生效。 如果防火墙未做其他配置,则 80,443 之外的端口会全部被禁止访问。 安全组,顾名思义“安全”“组”,是阿里云为了提高服务器安全,从软件角度开发的一套效果与防火墙很相似的一套安全体系。 另外,安全组还有个组的概念,一个安全组可以配置给多台服务器,这对以后服务器的增量管理是个非常占优势的地方。 (博主接触过的阿里云服务器,高达 100 余台 ECS,逐个配置防火墙的工作量可想而知) 安全组的使用非常简单,首先需要理解的是公网,私网。如果所购买的阿里云属于经典网络,其服务器会有三块网卡,分别用于“公网网卡”、“私网网卡”、“回环网卡”。如果是采用了阿里云后来推出的 VPC 网络,则只有一块看起来像私有网卡的网卡。为了让本文解释更加明确,此处博主选择经典网络作为解释案例:


大前提:购买云服务器时候,阿里云已经为我们选择了默认安全组,目前默认规则是:对公网开启 22,3389,80 端口,其他端口默认关闭
假设我们有 2 台服务器 WEB1,DB1 用途如下:
WEB1 网站服务器,公网访问 opengps.cn ,最终被被转换访问到 115.28.xxx.xxx(公网网卡)


DB1 数据库服务器,只给提供 A 服务器提供数据库读取,例如常见端口:MySQL 默认的 3306,SQL Server 默认的 1433 等
安全组配置过程如下:
针对 A 服务器新建安全组:我们命名 WebServersSafeGroup
网络:公网入方向
端口范围:80-80,443-443 (可以同时配置多个)
协议:TCP (网站所用的 http 协议位于网络第七层,均属于对网络第四层 TCP 协议的应用)
最后一步,将网站服务器 A,添加到安全组 WebSafeGroup


针对 DB1 服务器新建安全组:我们命名 DBServersSafeGroup
网络:内网入方向(同一个帐号下的服务器,默认开通互相访问)
端口范围:80-80,443-443 (可以同时配置多个)
协议:TCP (网站所用的 http 协议位于网络第七层,均属于对网络第四层 TCP 协议的应用)
最后一步,将网站服务器 A,添加到安全组 DBServersSafeGroup


完成这一步,我们可以稍微拓展,博主的网站目前没有不需要只需要一台,但将来可能追加一个网站,同样访问 DB1 服务器,则购买新 WEB2 服务器的时候,只需要在安全组位置选择 WebServersSafeGroup 即可,新手入门往往只有一台服务器,因此没必要按照博主进行的这种方式规划安全组,因此,针对单台服务器承载全部应用的情况,往往操作更简化
找到默认安全组,添加公网入方向规则:
自己想用的端口,例如 81,8080 端口,选择 TCP 类型,保存,一切完成。


半小时后,博主过来补图:(不会用 MD 添加图片怎么办???呜呜呜~~~~大伙可以到我的 csdn 上看看)
1,安全组在哪找
2,安全组创建
3,安全组配置
4,添加实例(实例就是云服务器 ECS )

添加一条回复

V2DN

一个年轻的极客社区



已注册用户请 登录