安全组准则
在使用 IBM™ Cloud Security Groups时,请考虑以下指导原则。
规则
- 每个安全组都会定义不同的网络规则集,这些集用于定义虚拟服务器实例的入局和出局流量。 您可以为 IPv4 和 IPv6 指定规则。
- 使用 IBM Cloud 控制台创建新安全组时,默认行为是创建一条允许虚拟服务器实例所有出站流量的规则。 必须清除“使用缺省规则创建组以允许所有出站流量”复选框,才能创建没有规则的安全组。 没有规则的安全组会阻止所有流量(入站和出站)。
- 要允许入站流量和/或出站流量,必须至少添加一个包含安全组规则、允许流量的安全组。
- 只有安全组规则可以决定是否允许流量。 缺省情况下,流量是被阻止的。
- 具有管理安全组权限的用户可以在安全组中添加、编辑或删除规则。
- 对安全组规则的更改是自动应用的,并且可以随时修改。
- 安全组中规则的顺序不重要。 最不严格的规则优先级始终最高。
- 规则是有状态的。 更改安全组之前建立的连接不会被更改。 新连接要遵守建立连接时存在的规则。
- 安全组不会覆盖虚拟服务器上的操作系统防火墙。 即使操作系统上存在比安全组所应用的规则更严格的防火墙,仍将会强制实施操作系统的规则。
- 如果您的虚拟服务器需要访问内部服务,如更新服务器、网络附加存储 (NAS) 或高级监控,请确保安全组规则能够容纳这些内部服务的流量。 有关更多信息,请参阅 IBM Cloud IP 范围。
接口
- 安全组可以应用于专用网络、公用网络,或这两种网络接口类型。
- 您可以将一个或多个安全组连接到分配给网络接口的安全组列表。 每个安全组的安全组规则应用于关联的虚拟服务器实例。
- 第一次将现有安全组分配给网络接口(公共或专用)时,需要重新启动每个接口。 但是,如果同时将公共和专用接口分配给安全组,那么只需要重新启动一次。 重新启动以后,将自动应用更改。
访问
- 账户中的所有用户都可以读取、附加和分离其有权访问的虚拟服务器实例上的安全组。 只有在“网络权限”中具有管理安全组权限的用户可以创建、更新和删除安全组。
- 不能将安全组分配给裸机服务器。
删除
- 您无法删除已分配给一个或多个正在运行的虚拟服务器实例的安全组。
- 您无法删除其他安全组在其规则中引用的安全组。