阿里雲ECS服務器安全組是雲服務器的防火牆,具有狀態監測和數據包過濾功能。用戶在雲端劃分安全域。之前只有普通安全組,最近阿里雲上線了企業安全組,能添加更多ECS服務器實例、彈性網卡和私有網絡IP地址。同時精簡安全組設置規格,使用更加方便。企業安全組適用於對運維效率、ECS實例規格以及計算節點規模有更高需求的場景。
一、阿里雲服務器普通安全組與企業安全組對比
普通安全組和企業安全組的不同看下面表格。
| 功能對比 | 普通安全組 | 企業安全組 |
| 支持所有實例規格 | 是 | 否,實例網絡類型必須是專有網絡VPC |
| 支持專有網絡VPC | 是 | 是 |
| 支持經典網絡 | 是 | 否 |
| 支持設置規則優先級 | 是 | 否 |
| 支持授權給其他安全組 | 是 | 否 |
| 支持手動設置允許訪問的安全組規則 | 是 | 是 |
| 支持手動設置拒絕訪問的安全組規則 | 是 | 否,企業安全組默認拒絕任何訪問請求 |
| 支持綁定彈性網卡到任意實例規格 | 否,實例網絡類型必須是專有網絡VPC | 否,但實例網絡類型必須是專有網絡VPC |
| 能容納的私網IP地址數量 | 2000 | 65536 |
| 默認支持同一個安全組內ECS實例互通 | 是 | 否,需要您單獨添加安全組規則 |
更多參閱官方文檔。
計費
使用企業安全組不會產生額外計費。
使用限制
企業安全組的使用限制及配額
| 功能對比 | 普通安全組 | 企業安全組 |
| 支持所有實例規格 | 是 | 否,實例網絡類型必須是專有網絡VPC |
| 支持專有網絡VPC | 是 | 是 |
| 支持經典網絡 | 是 | 否 |
| 支持設置規則優先級 | 是 | 否 |
| 支持授權給其他安全組 | 是 | 否 |
| 支持手動設置允許訪問的安全組規則 | 是 | 是 |
| 支持手動設置拒絕訪問的安全組規則 | 是 | 否,企業安全組默認拒絕任何訪問請求 |
| 支持綁定彈性網卡到任意實例規格 | 否,實例網絡類型必須是專有網絡VPC | 否,但實例網絡類型必須是專有網絡VPC |
| 能容納的私網IP地址數量 | 2000 | 65536 |
| 默認支持同一個安全組內ECS實例互通 | 是 | 否,需要您單獨添加安全組規則 |
企業安全組收費標準
使用企業安全組功能不會額外產生費用。
企業安全組使用限制
| 限制項 | 普通安全組限制 | 企業安全組限制 |
| 一個賬號在一個地域可以創建的安全組數量 | 100 | 與普通安全組相同 |
| 一個經典網絡類型的安全組能容納的經典網絡類型ECS實例數量 | 1000* | 不支持經典網絡 |
| 一個專有網絡VPC類型的安全組能容納的VPC類型ECS實例數量 | 不固定,受安全組能容納的私網IP地址數量影響 | 無限制 |
| 一臺ECS實例可以加入的安全組數量 | 5 | 與普通安全組相同 |
| 一臺ECS實例的每張彈性網卡可以加入的安全組數量 | 如需提高上限,請提交工單,可以增加到10個或者16個安全組。 | |
| 一個安全組最大規則數量(包括入方向規則與出方向規則) | 200* | 與普通安全組相同 |
| 一張彈性網卡在所有已加入的安全組中的最大規則數量(包括入方向規則與出方向規則) | 1000 | 與普通安全組相同 |
| 一個專有網絡VPC類型的安全組能容納的私網IP地址數量 | 2000** | 65536 |
| 公網訪問端口 | 出方向的STMP默認端口25默認受限,而且不能通過安全組規則打開。關於如何申請解封,請參見TCP 25端口控制檯解封申請。 | 與普通安全組相同 |
總體上來說阿里雲ECS服務器實例只允許加入一種安全組,普通安全組和企業安全組只能二選一加入。考慮到更大流量業務需要,阿里雲設置了替換安全組功能,可以無縫切換普通安全組和企業安全組。