安全组清单

属性(Properties)

名字 描述 可选的 可选的参数值 起始支持版本
uuid 请参见资源属性 0.6
name 请参见资源属性 0.6
description 请参见资源属性 0.6
state 请参见资源属性
  • Enabled
  • Disabled
 0.6
rules 请参见 Security Group Rule Inventory 0.6
attachedL3NetworkUuids 安全组挂载的L3Network 的uuid列表 0.6
createDate 请参见资源属性 0.6
lastOpDate 请参见资源属性 0.6

示例

 {
    "attachedL3NetworkUuids": [
        "0b48770e593e400c8f54e71fd4e7f514"
    ],
    "createDate": "Nov 16, 2015 1:02:22 AM",
    "lastOpDate": "Nov 16, 2015 1:02:22 AM",
    "name": "sg-in",
    "rules": [
        {
            "allowedCidr": "0.0.0.0/0",
            "createDate": "April 29, 2015 9:57:10 PM",
            "state": "Enabled",
            "endPort": 22,
            "lastOpDate": "Nov 29, 2015 9:57:10 PM",
            "protocol": "TCP",
            "securityGroupUuid": "9e0a72fe64814900baa22f78a1b9d235",
            "startPort": 22,
            "type": "Ingress",
            "uuid": "a338d11be18d4e288223597682964dc8"
        }
    ],
    "state": "Enabled",
    "uuid": "9e0a72fe64814900baa22f78a1b9d235"
}

安全组默认策略(Security Group defaultPolicy)

  • 空的安全组会有默认的策略控制进出的流量;
  • 对于进入(Ingress)的流量,默认的策略是拒绝(deny),也就是说对于这个空白安全组的网卡所有的流入流量(inbound traffics)都被阻止(blocked)了;
  • 对于外出(Egress)的流量,默认的策略是允许(allow), 也就是说对于这个空白安全组的网卡所有的流出流量都被允许。

管理员可以通过修改全局配置 Ingress.defaultPolicy 和 Egress.defaultPolicy 来改变默认的策略。

安全组规则清单(Security Group Rule Inventory)

名字 描述 可选的 可选的参数值 起始支持版本
uuid 请参见 资源属性 0.6
securityGroupUuid 父安全组的uuid 0.6
remoteSecurityGroupUuid 源安全组,表示仅允许指定全组内的云主机才可通过 0.6
type 请参见 traffic type
  • Ingress
  • Egress
 0.6
protocol 流量协议类型
  • TCP
  • UDP
  • ICMP
 0.6
startPort 如果协议是TCP/UDP,它是端口范围(port range)的起始端口号;如果协议是ICMP,它是ICMP类型(type)
  • 对于TCP/UDP:0 - 65535
  • 对于ICMP: 请参见 ICMP type and code ,使用‘-1’来表示所有的类型
 0.6
endPort 如果协议是TCP/UDP,它是端口范围(port range)的结束端口号;如果协议是ICMP,它是ICMP类型(type)
  • 对于TCP/UDP:0 - 65535
  • 对于ICMP: 请参见 ICMP type and code ,使用‘-1’来表示所有的类型
 0.6
allowedCidr 请参见 allowedCidr 0.6
state 规则的可用状态,当前版本未实现
  • Enabled
  • Disabled
 0.6
createDate 请参见资源属性 0.6
lastOpDate 请参见资源属性 0.6

示例

{
     "allowedCidr": "0.0.0.0/0",
     "state": "Enabled",
     "startPort": 22,
     "endPort": 22,
     "protocol": "TCP",
     "type": "Ingress",
     "createDate": "Nov 29, 2015 9:57:10 PM",
     "lastOpDate": "Nov 29, 2015 9:57:10 PM",
     "uuid": "a338d11be18d4e288223597682964dc8"
     "securityGroupUuid": "9e0a72fe64814900baa22f78a1b9d235"
}

流量类型(Traffic Type)

有两种流量类型:
  • Ingress:

    访问虚拟机网卡的流入的流量

  • Egress:

    离开虚拟机网卡的流出的流量

允许的CIDR(Allowed CIDR)

根据流量类型的不同,允许的CIDR有不同的含义。格式为:
ipv4地址/网络前缀(network_prefix)
例如: 12.12.12.12/24
如果流量类型是Ingress,允许的CIDR是允许访问虚拟机网卡的源CIDR(source CIDR);例如,规则:
startPort: 22
endPort: 22
protocol: TCP
type: Ingress
allowedCidr: 12.12.12.12/32
表示只有从IP(12.12.12.12)来的TCP流量允许访问端口22。
如果流量类型是Egress,允许的CIDR是允许从虚拟机网卡离开并到达的目的地CIDR(destination CIDR);例如,规则:
startPort: 22
endPort: 22
protocol: TCP
type: Egress
allowedCidr: 12.12.12.12/32
表示只允许从目的地为IP为12.12.12.12端口为22的TCP的流量允许流出。

特别的是,CIDR 0.0.0.0/0表示所有IP地址。