关于 IBM Security Groups

IBM 提供的安全组

您可以将 IBM 提供的以下任何安全组分配给虚拟服务器实例的网络接口：

• allow_ssh- 该安全组定义了只允许 SSH 端口（ 22/TCP ）上的 TCP 入口流量的 IP 规则。
• allow_http- 该安全组定义了只允许 HTTP 端口（ 80/TCP ）上入口流量的 IP 规则。
• allow_https- 该安全组定义了仅允许 HTTPS 端口（ 443/TCP ）上 TCP 流量入口的 IP 规则。
• allow_outbound- 该安全组定义了允许来自服务器的所有出口流量的 IP 规则。
• allow_all- 该安全组定义了允许所有端口上所有入口流量的 IP 规则。

安全组和审计日志

所有安全组的互动都会记录到账户的审计日志中。 这些条目跟踪特定安全组的更改以及哪个用户要求更改。 针对以下交互会写入日志：

• 在虚拟服务器的网络接口上添加或删除安全组。
• 可通过添加规则、编辑规则或删除规则来更改安全组的规则。

对于其中每个交互，将针对每个受影响的对象写入一个日志。 将始终针对所更改的安全组写入一个日志。 针对连接到安全组的每个虚拟服务器网络接口，将写入其他日志。 过滤特定安全组上的审计日志将显示该组的所有与安全组相关的更改。 同样，过滤特定虚拟服务器上的日志将显示该虚拟服务器的所有与安全组相关的更改。

由于安全组更改会导致许多虚拟服务器在后台更新，因此可以使用审计日志来准确确定更改生效的时间。 生成审计日志的安全组 API 将返回请求标识。 该标识可用于将 API 调用与生成的审计日志相关联。

将安全组用作源或目标

在安全组内创建规则时，一种选择是将安全组设置为流量源或流量目标。 这主要做了两件事。 首先，它创建一组由连接到指定安全组的服务器定义的IP地址。 其次，它将IP组设置为流量的源或目标。 这样，您就可以根据功能和规则中的分组对服务器进行分组。 例如，您可以在您的帐户中为所有网络服务器创建一个安全组，为所有数据库服务器创建另一个安全组，按服务器类型定义安全组。 为了允许网络服务器与数据库服务器之间的通信，您可以在网络服务器安全组中创建规则，将目标设置为数据库服务器安全组（在规则中设置正确的目标端口和协议）。

每个安全组都可以作为其他安全组中的源或目标引用，默认情况下，整个账户中的引用总数最多为5次。

安全组示例

在下图中，虚拟服务器实例与一组安全组关联以限制网络流量。 箭头表示网络流量流程。 应用程序开发者对于各种基础结构层的访问存在以下限制：

• 应用程序开发者仅可通过 TCP 端口 443 (https) 访问 Web 层。
• 仅 Web 层实例可访问应用程序层实例。
• 仅应用程序层实例可访问数据库层实例。

{: caption="一组安全组后的网络流量安全组" caption-side="bottom"}