安全组简介

安全组是 Karen 云服务中的关键功能，充当虚拟防火墙来控制虚拟机的入站和出站网络流量。通过配置安全组规则，您可以精确定义允许或拒绝的流量类型，保护您的虚拟机资源免受未经授权的访问。

什么是安全组？ 🤔

安全组是一种虚拟防火墙机制，用于管理与虚拟机实例关联的网络流量。每个安全组都包含一组规则，这些规则基于协议、方向、操作和其他参数来控制流量访问。

创建和管理安全组 🛠️

在 Karen 云服务平台中，您可以按照以下步骤配置安全组：

1. 创建安全组

   • 登录 Karen 控制面板，导航到"安全组"模块
   • 点击"创建安全组"，输入名称和描述，然后保存

2. 添加规则

   • 选择目标安全组，点击"添加规则"
   • 配置协议、方向、操作以及特定协议的附加参数（详见下文）

3. 关联虚拟机

   • 创建虚拟机时，选择所需的安全组
   • 对于现有虚拟机，通过实例设置修改关联的安全组

安全组规则详解 📜

每个安全组规则由以下主要组件组成：

• 协议：指定规则适用的协议。支持的选项包括：

  • TCP：传输控制协议
  • UDP：用户数据报协议
  • SCTP：流控制传输协议
  • IP：互联网协议（适用于所有 IP 流量，包括 TCP、UDP、ICMP 等）
  • All：所有协议

• 方向：指定规则是应用于入站流量（"In"）还是出站流量（"Out"）

• 操作：定义如何处理匹配的流量。选项包括：

  • Accept：允许流量通过
  • Drop：拒绝流量

根据选择的协议，可能需要额外的配置：

TCP、UDP、SCTP 协议

• 源 IP 地址（可选）：对于入站规则，指定允许的源 IP 地址；对于出站规则，通常不设置（适用于虚拟机的所有 IP）
• 目标端口范围：指定允许的目标端口范围（起始端口和结束端口）

IP 协议

• 源 IP 地址（可选）：对于入站规则，指定允许的源 IP 地址；对于出站规则，指定虚拟机的源 IP 地址（通常不设置）
• 目标 IP 地址（可选）：对于入站规则，指定虚拟机的目标 IP 地址（通常不设置）；对于出站规则，指定允许的目标 IP 地址

所有协议

• 无需额外配置；规则适用于所有协议的流量

规则评估机制 🔍

安全组规则按定义顺序进行评估，第一个匹配的规则决定对流量的操作（接受或拒绝）。如果没有规则匹配，则拒绝流量。

这允许您创建特定的允许规则，并添加最终的"拒绝所有"规则，实现默认拒绝策略。

相关文档 📚

• 安全组最佳实践
• 虚拟网络

通过了解安全组基础知识，您可以有效地保护虚拟机免受未经授权的访问，同时确保必要的网络连接。有关实际示例和配置指南，请参阅最佳实践指南。