阿里云新手必踩坑系列 - 安全组
文章开始之前,先简单插播一段阿里广告,适合购买阿里云产品的新用户(新购或升级),欢迎大家领取,以支持博客长久发展:
【阿里云幸运券领取地址】:http://t.cn/RiW5Psd(阿里云幸运券)
【阿里云幸运券- 新用户用途】:
199元 1核2G,60G硬盘云服务器:http://t.cn/RSrB8jK(用买网站空间的价钱买独享IP云服务器,对SEO更加友好)
另有多种产品首购限额免费,例如OSS等。当然这里入门相对困难(先学会ECS是第一步)
免费半年体验,需每天10点参与秒杀,本来博主有推荐码可以免秒杀,但由于数量只有区区20枚,截至本地发博已经用完,新推荐码暂时没有发放。所以想免费体验的可以乖乖秒杀。也可以联系博主QQ453177660,等待新推荐码到来。
【阿里云幸运券-新老用户】:
三种规格套云服务器购买:http://t.cn/RXVmM4y(每用户限购一台,同时适合新老用户)
另外,产品首次升级ECS亦可享受折扣
【阿里云幸运券-老用户】:
产品首次升级,可以享受随机折扣。
对于老用户,福利远远低于新用户,目前续费折扣,只有阿里云代理商才可以9折续费,但须将自己阿里云帐号调整为代理商子账号下。博主所用推广为阿里云云大使板块优惠。欢迎阿里云用户,也加入云大使进行推广,为自己增加一点收入,平衡服务器费用支出
*******************分割线************************************************************************************************
回归话题,经过了上述购买环节,就可以做实验学习阿里云安全组配置了!
相信很多朋友在接触阿里云云服务器ECS的过程中,经常会遇到一些问题解释不通。其根本原因在于新手尚不了解阿里云,在博主数次在同行技术群里交流问题的过程中,发现新手几乎会问同一个问题:安全组
介绍安全组之前,先说说防火墙的意义:
防火墙,原始意义是森林中着火,快速围绕着火区域伐木,产生一条隔离带,控制火灾范围在隔离带之内。用在操作系统中,防火墙防的“火情”就是端口,所有网络活动,都需要依赖端口,例如用户访问我的博客,就使用了“公网入方向的80或者443端口”,防火墙就可以配置这样一条规则来实现(以windows为例):“入站规则”,端口写“80”“443”(常规业务端口相对固定,写成2条更容易识别),类型TCP,然后启用防火墙,则该规则生效。如果防火墙未做其他配置,则 80,443之外的端口会全部被禁止访问。
安全组,顾名思义“安全”“组”,是阿里云为了提高服务器安全,从软件角度开发的一套效果与防火墙很相似的一套安全体系。另外,安全组还有个组的概念,一个安全组可以配置给多台服务器,这对以后服务器的增量管理是个非常占优势的地方。(博主接触过的阿里云服务器,高达100余台ECS,逐个配置防火墙的工作量可想而知)
安全组的使用非常简单,首先需要理解的是公网,私网。如果所购买的阿里云属于经典网络,其服务器会有三块网卡,分别用于“公网网卡”、“私网网卡”、“回环网卡”。如果是采用了阿里云后来推出的VPC网络,则只有一块看起来像私有网卡的网卡。为了让本文解释更加明确,此处博主选择经典网络作为解释案例:
大前提:购买云服务器时候,阿里云已经为我们选择了默认安全组,目前默认规则是:对公网开启22,3389,80端口,其他端口默认关闭
假设我们有2台服务器WEB1,DB1用途如下:
WEB1网站服务器,公网访问 opengps.cn,最终被被转换访问到 115.28.xxx.xxx(公网网卡)
DB1数据库服务器,只给提供A服务器提供数据库读取,例如常见端口:MySQL默认的3306,SQL Server默认的1433等
安全组配置过程如下:
针对A服务器新建安全组:我们命名 WebServersSafeGroup
网络:公网入方向
端口范围:80-80,443-443(可以同时配置多个)
协议:TCP(网站所用的http协议位于网络第七层,均属于对网络第四层TCP协议的应用)
最后一步,将网站服务器A,添加到安全组WebSafeGroup
针对DB1服务器新建安全组:我们命名 DBServersSafeGroup
网络:内网入方向(同一个帐号下的服务器,默认开通互相访问)
端口范围:80-80,443-443(可以同时配置多个)
协议:TCP(网站所用的http协议位于网络第七层,均属于对网络第四层TCP协议的应用)
最后一步,将网站服务器A,添加到安全组DBServersSafeGroup
完成这一步,我们可以稍微拓展,博主的网站目前没有不需要只需要一台,但将来可能追加一个网站,同样访问DB1服务器,则购买新WEB2服务器的时候,只需要在安全组位置选择WebServersSafeGroup即可,新手入门往往只有一台服务器,因此没必要按照博主进行的这种方式规划安全组,因此,针对单台服务器承载全部应用的情况,往往操作更简化
找到默认安全组,添加公网入方向规则:
自己想用的端口,例如81,8080端口,选择TCP类型,保存,一切完成。
本文初次编辑,尚未配图,在此先请各位读者原谅
半小时后,博主过来补图:
1,安全组在哪找
2,安全组创建
3,安全组配置
4,添加实例,(实例就是云服务器ECS)