問題:已備案,但不能用公網ip訪問tomcat部署的頁面,用內網ip可以訪問?
授權安全組規則可以允許或者禁止與安全組相關聯的 ECS 實例的公網和內網的入方向和出方向的訪問。您可以隨時授權和取消安全組規則。您的變更安全組規則會自動應用於與安全組相關聯的ECS實例上。
如果兩個安全組只有授權策略不同,則拒絕訪問生效,接受訪問不生效。
操作步驟
- 登錄 雲服務器管理控制台。
- 單擊左側導航中的 安全組。
- 選擇地域。
- 找到要授權規則的安全組,單擊 配置規則。
- 單擊 添加安全組規則。
- 在彈出的對話框中,設置下面參數:
- 網卡類型:公網 | 內網。如果該安全組屬於專有網絡,選擇內網。
- 規則方向:出方向 | 入方向。這里的入方向和出方向都是從 ECS 實例的角度來說的。
- 授權策略:允許 | 拒絕。安全組的 拒絕 策略對應的是 drop,不會回應。
- 協議類型:全部 | 自定義 TCP | 自定義 UDP | 全部 ICMP | 全部 GRE | SSH (22) | TELNET (23) | HTTP (80) | HTTPS (443) | MS SQL (1433) | Oracle (1521) | My SQL (3306) | RDP (3389) | PostgreSQL (5432) | Redis (6379)。
- 端口范圍:1~65535,格式為“開始端口號/終止端口號”。例如 1/200、80/80、22/22、-1/-1。其中 -1/-1 表示不限制端口。注意:即使是一個端口,也要寫成范圍形式,如 22/22,不能只寫 22,否則會報錯 “IP 協議參數格式不正確”。端口 25 默認受限,並且無法通過安全組規則打開。
- 授權類型:地址段訪問 | 安全組訪問。
- 授權對象:
- 如果授權類型為地址段訪問,授權對象填寫 IP 或者 CIDR 網段格式,如:10.0.0.0 或者 192.168.0.0/24。僅支持 IPv4。
- 如果授權類型為安全組訪問,授權對象從安全組的列表中選擇一個安全組。
注意:出於安全性的考慮,經典網絡的內網入方向規則,授權類型優先選擇“安全組訪問”。如果選擇 “地址段訪問”,則僅支持單 IP 授權,授權對象的格式只能是a.b.c.d/32,其中 IP 地址應根據您的實際需求設置,僅支持 IPv4,子網掩碼必須是 “/32”。
- 優先級:1 ~ 100,數值越小,優先級越高。更多優先級信息,詳見本文檔 “ECS 安全組規則優先級說明” 部分。
- 點擊 確定,成功為該安全組授權一條安全組規則。
ECS 安全組規則優先級說明
可以簡單地總結為:優先級高的生效;如果優先級相同,則時間晚的生效。
- 越晚創建的安全組,優先級越高。
- 相同優先級的授權規則,授權策略為 drop (拒絕)的規則優先。
- 安全組的優先級並非常規理解的“只在安全組內具有可比性”,因為不同安全組策略會最終合並應用到關聯的實例上。所以,不同安全組下的規則如果沖突的時候,優先級高的規則生效。
示例:
場景 1:
- 安全組 A ,創建時間 2015 年,規則 100: drop 80
- 安全組 B ,創建時間 2014 年,規則 100: accept 80
結果: 80 端口不通
場景 2:
- 安全組 A ,創建時間 2015 年,規則 100: drop 80
- 安全組 B ,創建時間 2014 年,規則 90: accept 80
結果: 80 端口能通
場景 3:
- 安全組 A ,創建時間 2015 年,規則 90: drop 80
- 安全組 B ,創建時間 2014 年,規則 100: accept 80
結果: 80 端口不通
不生效的解決辦法
如果在安全策略變更前后,一直是有數據包在傳輸,且包間隔很短,那么安全組策略並不會應用新的規則。
解決辦法是:客戶端斷開連接一段時間即可。