|问题分类 |问题 | |---|---| |计费 |[安全组服务如何计费？](#安全组服务如何计费？) | |约束 |[一个账号能拥有多少个安全组？多少条安全组规则？云服务器可以关联多少个安全组？](#一个账号能拥有多少个安全组？多少条安全组规则？云服务器可以选择关联多少个安全组？) | |功能 |* [安全组规则的优先级是如何定义的？](#安全组规则的优先级是如何定义的？)|\ | |* [当网卡关联多个安全组时，其流量如何匹配？](#当网卡关联多个安全组时，其流量如何匹配？)|\ | |* [无法访问公有云某些端口时怎么办？](#无法访问公有云某些端口时怎么办？)|\ | |* [安全组如何放通或拒绝指定的IP及端口？](#安全组如何放通或拒绝指定的IP及端口？)|\ | |* [批量导入安全组规则失败是什么原因？](#批量导入安全组规则失败是什么原因？)|\ | |* [变更安全组规则是否对原有流量实时生效？](#变更安全组规则是否对原有流量实时生效？) | |对比 |* [使用了安全组是否意味着不可以使用iptables？](#使用了安全组是否意味着不可以使用iptables？)|\ | |* [安全组和网络ACL哪个优先级更高？](#安全组和网络ACL哪个优先级更高？) | |其他 |* [为什么云服务器网卡配置的安全组规则未生效？](#为什么云服务器网卡配置的安全组规则未生效？)|\ | |* [云服务器已经全部移出，为什么安全组无法删除?](#云服务器已经全部移出，为什么安全组无法删除？)|\ | |* [为什么云服务器之前可以接收对端资源的TCP数据，现在却无法接收了？](#为什么云服务器之前可以接收对端资源的TCP数据，现在却无法接收了？)|\ | |* [云服务器加入安全组后，可以变更安全组吗？](#云服务器加入安全组后，可以变更安全组吗？) | ## 安全组服务如何计费？当前安全组服务不收取费用。 ## 一个账号能拥有多少个安全组？多少条安全组规则？云服务器可以选择关联多少个安全组？ * 不限制单个账号的安全组个数。 * 单个安全组默认支持创建的规则数量： * 入方向：IPv4规则200条，IPv6规则200条； * 出方向：IPv4规则200条，IPv6规则200条； * 如果默认配额无法满足需要，请前往 [配额中心](https://console.volcengine.com/quota/productList/coParameterList?ProviderCode=VPC)，申请提升配额。 * 云服务器的每张网卡最多可关联5个安全组。 ## 安全组规则的优先级是如何定义的？当前安全组规则优先级的取值范围为1 ～ 100，数字越小代表优先级越高。在添加安全组规则时，默认优先级是1，即最优先。在安全组规则优先级相同的情况下，“拒绝”策略优先级高于“允许”策略。 ## 当网卡关联多个安全组时，其流量如何匹配？安全组由一系列的安全组规则组成，其本身无优先级，而安全组规则有优先级。匹配过程如下（以网卡入方向流量为例，出方向流量同理）： 1. 汇总所有安全组的入方向规则，并按优先级从高到低排序。 :::tip * 优先级数值越小则优先级越高。 * 两条入方向规则优先级相同时，拒绝策略优先于允许策略。 ::: 2. 流量从上到下依次匹配入方向规则，若成功匹配，则根据规则的策略，允许或拒绝流量通行，并结束匹配操作；若所有规则均未成功，则拒绝该流量通行。 ## 无法访问公有云某些端口时怎么办？ **问题现象：** 访问公有云特定端口，在部分地区部分运营商无法访问，而其它端口访问正常。 **问题分析：** 部分运营商判断如下表的端口为高危端口，默认被屏蔽。 |协议 |端口 | |---|---| |TCP |42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996 | |UDP |135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996 | **解决方案：** 建议您修改敏感端口为其它非高危端口来承载业务。 ## 变更安全组规则是否对原有流量实时生效？是。变更安全组规则立即生效。 ## 使用了安全组是否意味着不可以使用iptables？否。安全组和iptables可以同时使用，您的流量会经过两次过滤，流量的走向如下： * 出方向：实例上的进程 \> iptables \> 安全组。 * 入方向：安全组 \> iptables \> 实例上的进程。 ## 安全组和网络ACL哪个优先级更高？安全组和网络ACL属于不同维度的安全访问策略，不具有优先级高低的可比性。安全组作用于ECS实例网卡，网络ACL作用于子网，在访问流量在进入ECS实例前，需要先经过该ECS实例所属子网关联的网络ACL规则的过滤，然后再经过安全组规则的过滤。如网络ACL入方向规则中拒绝了来自某网段的流量，安全组入方向规则中允许该网段的流量，ECS实例上也不会流入该网段的流量。关于安全组和网络ACL区别的更多介绍，请参见[网络ACL与安全组差异](https://www.volcengine.com/docs/6401/104965#%E7%BD%91%E7%BB%9Cacl%E4%B8%8E%E5%AE%89%E5%85%A8%E7%BB%84%E5%B7%AE%E5%BC%82)。 ## 安全组如何放通或拒绝指定的IP及端口？您可参考如下示例，[添加安全组规则](https://www.volcengine.com/docs/6401/68895#%E6%B7%BB%E5%8A%A0%E5%AE%89%E5%85%A8%E7%BB%84%E8%A7%84%E5%88%99)。 * **放通指定IP** 示例：允许安全组内的云服务器使用80端口访问10.10.10.10。 |方向 |优先级 |策略 |协议类型 |端口范围 |源地址 | |---|---|---|---|---|---| |出方向 |1 |允许 |TCP |80 |10.10.10.10/32 | * **拒绝指定IP** 示例：拒绝10.10.10.10访问安全组内云服务器的80端口。 |方向 |优先级 |策略 |协议类型 |端口范围 |源地址 | |---|---|---|---|---|---| |入方向 |1 |拒绝 |TCP |80 |10.10.10.10/32 | ## 批量导入安全组规则失败是什么原因？导入的文件可能存在如下问题： * 参数格式不正确。参数格式详情请参考 [下载并填写模板](https://www.volcengine.com/docs/6401/160147#%E4%B8%8B%E8%BD%BD%E5%B9%B6%E5%A1%AB%E5%86%99%E6%A8%A1%E6%9D%BF) 。 * 安全组重复。文件中的安全组规则重复，或文件中的安全组规则与已有的安全组规则重复。 * 文件格式不正确。仅支持.csv、.xls、.xlsx。 * 编码格式不兼容。若导入乱码，请修改编码格式后重试。 ## 为什么云服务器网卡配置的安全组规则未生效？建议按照以下几个方向检查安全组配置是否有误： * 安全组规则方向是否设置错误，例如将入方向规则添加到出方向规则下。 * 安全组规则协议类型是否选择正确。 * 安全组规则中允许访问的端口是否为高危端口。高危端口在部分地区部分运营商无法访问，建议您修改高危端口为其它非高危端口来承载业务。 * 安全组规则中允许访问的端口在云服务器中未启用。 * 云服务器实例绑定了多个安全组且规则相互冲突，例如安全组1中允许访问的端口，在安全组2中设置了优先级更高的拒绝访问规则，那么相应端口无法访问。 * 云服务器设置了其他访问控制，如防火墙等，阻挡了相应端口的访问。 ## 为什么云服务器之前可以接收对端资源的TCP数据，现在却无法接收了？先确认对端资源及相关资源的状态，若无异常，再确认TCP连接是否超时断开。因为安全组是有状态的，所以当TCP连接建立时，允许对端资源的数据传输至本端资源；然而又因为火山引擎TCP连接的老化时间为900s，当TCP连接老化断开后，若本端资源的安全组入方向未放通对端资源的流量，则对端资源的数据无法传输至本端资源。例如：火山引擎存在两台云服务器，彼此的主网卡加入不同的安全组，彼此之间建立TCP连接。若需要对端云服务器的数据不受TCP老化时间的限制，正常传输至本端云服务器，可采用如下三种方案： * 方案一：若两台云服务器同属一个VPC，则将它们的主网卡加入同一个安全组，并保证组内存在同安全组内网卡互通的规则。 * 方案二：为两台云服务器主网卡的安全组配置出入方向规则，均允许主动访问对方和被对方访问。 * 方案三：为本端云服务器配置TCP keepalive维持连接活性。 ## 云服务器加入安全组后，可以变更安全组吗？可以。为云服务器更换安全组，本质上是为云服务器绑定的网卡更换安全组，您可以参考[更新网卡安全组](https://www.volcengine.com/docs/6401/68690)完成操作。 ## 云服务器已经全部移出，为什么安全组无法删除？ * 创建私有网络时，火山引擎平台会自动创建一个默认安全组，默认安全组不支持删除。 * 安全组支持关联云服务器、负载均衡、辅助网卡等，请确认待删除的安全组已解关联所有实例。若安全组存在关联的实例，请先将关联实例移出安全组，再执行安全组删除操作。