阿里云ECS服务器安全组是一种虚拟的防火墙功能,可以从端口级来划分出入网流量。具有状态监测和数据包过滤功能。用户在云端划分安全域。使用安全组配置规格,还可以单独控制ECS服务器的入网和出网流量。以前一直只有普通安全组。今年2月份上线了企业安全组。与普通安全组对比企业安全组能添加更多ECS服务器实例、弹性网卡和私有网络IP地址。同时精简安全组设置规格,使用更加方便。对于ECS服务器较多的企业可以简化运维流程。企业安全组适用于对运维效率、ECS实例规格以及计算节点规模有更高需求的场景。
一、阿里云服务器普通安全组与企业安全组对比
下表详细对比了普通安全组和企业安全组。
| 功能对比 | 普通安全组 | 企业安全组 |
|---|---|---|
| 支持所有实例规格 | 是 | 否,实例网络类型必须是专有网络VPC |
| 支持专有网络VPC | 是 | 是 |
| 支持经典网络 | 是 | 否 |
| 支持设置规则优先级 | 是 | 否 |
| 支持授权给其他安全组 | 是 | 否 |
| 支持手动设置允许访问的安全组规则 | 是 | 是 |
| 支持手动设置拒绝访问的安全组规则 | 是 | 否,企业安全组默认拒绝任何访问请求 |
| 支持绑定弹性网卡到任意实例规格 | 否,实例网络类型必须是专有网络VPC | 否,但实例网络类型必须是专有网络VPC |
| 能容纳的私网IP地址数量 | 2000 | 65536 |
| 默认支持同一个安全组内ECS实例互通 | 是 | 否,需要您单独添加安全组规则 |
二、企业安全组使用限制
如下表所示
| 限制项 | 普通安全组限制 | 企业安全组限制 |
|---|---|---|
| 一个账号在一个地域可以创建的安全组数量 | 100 | 与普通安全组相同 |
| 一个经典网络类型的安全组能容纳的经典网络类型ECS实例数量 | 1000* | 不支持经典网络 |
| 一个专有网络VPC类型的安全组能容纳的VPC类型ECS实例数量 | 不固定,受安全组能容纳的私网IP地址数量影响 | 无限制 |
| 一台ECS实例可以加入的安全组数量 | 5 | 与普通安全组相同 |
| 一台ECS实例的每张弹性网卡可以加入的安全组数量 | 如需提高上限,请提交工单,可以增加到10个或者16个安全组。 | |
| 一个安全组最大规则数量(包括入方向规则与出方向规则) | 200*** | 与普通安全组相同 |
| 一张弹性网卡在所有已加入的安全组中的最大规则数量(包括入方向规则与出方向规则) | 1000 | 与普通安全组相同 |
| 一个专有网络VPC类型的安全组能容纳的私网IP地址数量 | 2000** | 65536 |
| 公网访问端口 | 出方向的STMP默认端口25默认受限,而且不能通过安全组规则打开。关于如何申请解封,请参见TCP 25端口控制台解封申请。 | 与普通安全组相同 |
所有阿里云ECS服务器实例只允许加入一种安全组,既加入普通安全组后无法加入企业安全组。但是阿里云设置了替换安全组功能,可以无缝切换普通安全组和企业安全组。
更多关于安全组的信息,可以查看阿里云官方文档:ECS 安全组
