与普通安全组相比,企业安全组能够容纳更多的ECS实例、弹性网卡和私网IP地址,同时简化了安全组规则的配置策略,使用更方便。企业安全组适用于对运维效率、ECS实例规格以及计算节点规模有更高需求的场景。

功能对比

普通安全组和企业安全组的功能对比如下表所示。普通安全组详情,请参见安全组概述

功能对比 普通安全组 企业安全组
支持所有实例规格 否,实例网络类型必须是专有网络VPC
支持专有网络VPC
支持经典网络
支持设置规则优先级
支持授权给其他安全组
支持手动设置允许访问的安全组规则
支持手动设置拒绝访问的安全组规则 否,企业安全组默认拒绝任何访问请求
支持绑定弹性网卡到任意实例规格 否,实例网络类型必须是专有网络VPC 否,但实例网络类型必须是专有网络VPC
能容纳的私网IP地址数量 2000 65536
默认支持同一个安全组内ECS实例互通 否,需要您单独添加安全组规则

计费

使用企业安全组不会产生额外计费。

使用限制

企业安全组的使用限制及配额,请参见使用限制安全组章节。

除上述限制外,使用企业安全组还需满足下列要求:

  • 2019年5月30日之前创建的ECS实例不可以加入企业安全组。
  • ECS实例网络类型必须是专有网络VPC。
  • ECS实例和弹性网卡对所属的安全组类型有以下要求:
    • 一台ECS实例的主弹性网卡不能同时加入普通安全组和企业安全组。
    • 一张辅助弹性网卡不能同时加入普通安全组和企业安全组。

使用流程

您可以按以下流程使用企业安全组。
  • 企业安全组管理ECS实例使用流程-实例
  • 企业安全组管理弹性网卡使用流程-弹性网卡
注意 通过ECS控制台和API新建一个企业安全组时,出方向的安全组规则设置如下:
  • ECS控制台自动添加了默认允许所有访问。建议您保留该设置,否则可能引起网络连通性问题。
  • API没有添加任何安全组规则,默认拒绝所有访问,建议您自行添加。

控制台操作

您可以参见下表中的描述在ECS控制台上使用企业安全组。
ECS控制台使用流程 说明 相关文档
创建企业安全组 安全组类型选择企业级安全组 创建安全组
添加安全组规则 企业级安全组等同于通信白名单,只支持添加允许访问的规则,并且授权对象只能是IP地址段而不能是安全组。规则之间不存在优先级。 添加安全组规则
ECS实例加入到企业安全组 一台ECS实例不能同时加入普通安全组和企业安全组。 ECS实例加入安全组
弹性网卡加入到企业安全组 如果弹性网卡在普通安全组中,通过修改弹性网卡加入到企业安全组中。 修改弹性网卡
将弹性网卡绑定到ECS实例 ECS实例绑定弹性网卡后,安全组规则即开始生效。 绑定弹性网卡
管理企业安全组 如添加标签、修改名称与描述、管理企业安全组内的ECS实例等。
管理企业安全组规则 在运营应用的过程中您可以根据实际需求修改安全组规则。

API操作

您可以调用以下API使用企业安全组。
API 说明
CreateSecurityGroup 将请求参数SecurityGroupType的取值设置为enterprise
说明 在创建企业安全组之前,您需要确保有可用的专有网络VPC与虚拟交换机。
AuthorizeSecurityGroup 添加一条入方向上允许访问的企业安全组规则,授权对象只能是IP地址段,不能是安全组。
企业级安全组等同于白名单,安全组规则设置如下:
  • Policy:策略默认采用允许访问(accept)的规则
  • Priority:无需设置
  • IpProtocol:必须指定通信协议
  • PortRange:通信端口区间
  • SourcePortRange:(可选)源通信端口区间
  • SourceCidrIp:源IP地址段
  • DestCiderIp:(可选)目的端IP地址段
AuthorizeSecurityGroupEgress 添加一条出方向上的企业安全组规则。
说明 建议您添加一条出方向上允许所有访问的安全组规则。
JoinSecurityGroup 将专有网络VPC类型ECS实例入企业安全组。
ModifyInstanceAttribute 如果ECS实例处于普通安全组中,通过ModifyInstanceAttribute可以切换为企业安全组。
说明 切换安全组类型后,您需要充分了解两种安全组规则的配置区别,避免影响实例网络。
ModifyNetworkInterfaceAttribute 如果弹性网卡在普通安全组中,通过ModifyNetworkInterfaceAttribute可以将弹性网卡加入到企业安全组。
AttachNetworkInterface 将已加入企业安全组的网卡挂载到ECS实例上。
DescribeSecurityGroups 查看您在当前地域下已创建的企业安全组列表。