安全性群組
TWSC 提供安全性群組功能,使用者可透過設定安全規則進行虛擬運算個體、負載平衡器的網路安全控管,管理允許連入連出的網段、協定、連接埠。
信息
- 安全性群組功能是為各個虛擬運算個體、負載平衡器設定個別的安全規則而設計,所以必須先建立至少一個可用的虛擬運算個體、負載平衡器,才可以設定其安全群組規則。
- 虛擬運算個體安全性群組可獨立管理,負載平衡安全性群組生命週期則依附於負載平衡器,兩者使用流程不同,詳細流程請參考 安全性群組 - 虛擬運算個體、安全性群組 - 負載平衡器。
- 租戶管理員、租戶使用者對於安全性群組使用權限之差異,請參考:使用者角色與權限。
安全性群組 - 虛擬運算個體
您可於建立虛擬運算個體時,建立預設1或選擇自訂安全性群組套用至虛擬運算個體,並至安全性群組進行安全性群組管理、規則管理。
信息
1單一專案的安全性群組上限為200個,若無法建立可能是因為已達到總量上限。建議您,若先前已建立過安全性群組,可以盡量選擇已建立的,減少創建新的。
預設安全性群組與規則
透過以下兩種使用流程,系統將為您建立預設的安全性群組與規則,若不敷使用請您自行建立更多規則。
- 建立虛擬運算個體時,選擇套用「建立安全性群組」,將會為個體建立並套用預設群組與以下預設規則。預設建立的群組,名稱將由
{instance_id}_{instance_name}_sg組成,預設規則如下:
虛擬運算個體預設之安全性群組規則
- TWSC Linux 個體預設開放的輸入/輸出規則:
| 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大) | 協定 | CIDR |
|---|---|---|---|---|---|
| ingress | IPv4 | 443 | 443 | tcp | 0.0.0.0/0 |
| ingress | IPv4 | 22 | 22 | tcp | 0.0.0.0/0 |
| egress | IPv4 | ANY | 0.0.0.0/0 | ||
| ingress | IPv4 | icmp | 0.0.0.0/0 | ||
| egress | IPv6 | ANY | ::/0 |
- TWSC Windows 個體預設開放的輸入/輸出規則:
| 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大) | 協定 | CIDR |
|---|---|---|---|---|---|
| ingress | IPv4 | 9833 | 9833 | tcp | 0.0.0.0/0 |
| ingress | IPv4 | 443 | 443 | tcp | 0.0.0.0/0 |
| ingress | IPv4 | 22 | 22 | tcp | 0.0.0.0/0 |
| egress | IPv4 | ANY | 0.0.0.0/0 | ||
| ingress | IPv4 | icmp | 0.0.0.0/0 | ||
| egress | IPv6 | ANY | ::/0 |
警告
因資安事件頻傳,如果您的連線來自以下這些國家,我們將關閉您使用遠端連線至 Windows 個體的功能 (連接埠:9833):中國、德國、法國、韓國、荷蘭、波蘭、俄國
若需連線 TWSC Windows 個體,請您與客服聯絡。
- 於「安全性群組管理」頁,建立安全性群組與規則,若不自訂群組規則將會預設建立以下開放基本對外連線的規則。
| 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大) | 協定 | CIDR |
|---|---|---|---|---|---|
| egress | IPv4 | ANY | 0.0.0.0/0 | ||
| egress | IPv6 | ANY | ::/0 |
警告
建議您不要將預設的「egress」規則刪除,若刪除可能會導致虛擬運算個體無法正常連線。
檢視安全性群組與規則
- TWSC 入口網站
- TWCC CLI (TBD)
建立安全性群組與規則
警告
請注意,安全性群組規則建立上限為一分鐘內 30 次,若超過此上限將會建立失敗。
- TWSC 入口網站
- TWCC CLI (TBD)
- 參考上方檢視安全性群組規則進入虛擬運算個體「安全性群組規則管理」頁,點擊「+建立」,可創建新的群組與規則。
- 進入「建立安全性群組」頁面,可於基本資訊自訂群組名稱與描述
- 接著點選「下一步:規則>」可新增並填寫規則的設定資訊,完成後點擊「下一步:檢閱+建立>」。
- 方向:選擇「ingress」輸入或「egress」輸出。
- 連接埠範圍(最小):設定套用此規則開始的連接埠。
- 連接埠範圍(最大):設定套用此規則結束的連接埠。
- 協定:選擇欲管控的協定如 tcp、udp、icmp... 等。
- CIDR:適用此規則的 CIDR 網段。
警告
- 考量資安風險,CIDR 請勿設定 x.x.x.x"/0" (即與 0.0.0.0/0 等效) 之危險網段。
- 連接埠範圍請審慎設定,並請小心衡量開放範圍。為避免入侵風險,不建議您設定 ingress 連接埠範圍為 0 ~ 65535。
- 檢視安全性群組規則的設定資訊及計畫的額度資訊,確定後點選「建立」。
- 建立完成後,規則列表即會新增您所建立的安全規則與預設提供的規則。
删除安全性群組規則
- TWSC 入口網站
- TWCC CLI (TBD)
信息
- 虛擬運算個體的安全性群組,其生命週期不受虛擬運算個體影響,因此個體刪除後,群組與規則仍可於安全性群組管理頁檢視與管理。
- 若安全性群組已套用至虛擬運算個體,請先至 個體詳細資料頁 移除該安全性群組才可刪除。
虛擬運算個體套用/移除安全性群組
已建立的安全性群組,您可以於以下流程將群組設定套用至虛擬運算個體:
信息
同一安全性群組,可套用至多個不同的虛擬運算個體。
安全性群組 - 負載平衡器
檢視安全性群組規則
- TWSC 入口網站
- TWCC CLI (TBD)
由服務列表點選「負載平衡」> 左側選擇下方的「安全性群組」,即可進入「安全性群組管理 (負載平衡器列表)」頁面。
- 選擇負載平衡器後,進入安全規則管理頁面,即可檢視目前已設定的安全性群組規則。
負載平衡器預設之安全性群組規則
- TWSC 應用程式負載平衡器 (監聽器協定為 HTTP) 預設開放的輸入/輸出規則:
| 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大) | 協定 | CIDR |
|---|---|---|---|---|---|
| ingress | IPv4 | 80 | 80 | tcp | 0.0.0.0/0 |
| ingress | IPv4 | 1025 | 1025 | tcp | 0.0.0.0/0 |
| ingress | IPv4 | 51 (ah) | 0.0.0.0/0 | ||
| ingress | IPv4 | 112 (vrrp) | 0.0.0.0/0 | ||
| egress | IPv4 | ANY | 0.0.0.0/0 | ||
| egress | IPv6 | ANY | ::/0 |
- TWSC 應用程式負載平衡器 (監聽器協定為 HTTPS)、網路負載平衡器 (監聽器協定為 TCP) 預設開放的輸入/輸出規則:
| 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大) | 協定 | CIDR |
|---|---|---|---|---|---|
| ingress | IPv4 | 443 | 443 | tcp | 0.0.0.0/0 |
| ingress | IPv4 | 1025 | 1025 | tcp | 0.0.0.0/0 |
| ingress | IPv4 | 51 (ah) | 0.0.0.0/0 | ||
| ingress | IPv4 | 112 (vrrp) | 0.0.0.0/0 | ||
| egress | IPv4 | ANY | 0.0.0.0/0 | ||
| egress | IPv6 | ANY | ::/0 |
建立安全性群組規則
- TWSC 入口網站
- TWCC CLI (TBD)
- 參考上方檢視安全性群組規則進入負載平衡器的「安全性群組規則管理」頁,點擊「+建立」,可創建新的規則。
- 進入「建立安全性群組規則」頁面,填寫規則的設定資訊,完成後點擊「下一步:檢閱+建立>」。
- 方向:選擇「ingress」輸入或「egress」輸出。
- 連接埠範圍(最小):設定套用此規則開始的連接埠。
- 連接埠範圍(最大):設定套用此規則結束的連接埠。
- 協定:選擇欲管控的協定如 tcp、udp、icmp... 等。
- CIDR:適用此規則的 CIDR 網段。
- 檢視安全性群組規則的設定資訊及計畫的額度資訊,確定後點選「建立」。
- 建立完成後,列表即新增一項新的安全規則。
删除安全性群組規則
- TWSC 入口網站
- TWCC CLI (TBD)
