网络服务

概述

安全组：为虚拟机网卡提供安全控制，按照指定的安全规则对进出网卡的TCP/UDP/ICMP等数据包进行有效过滤。

功能框架

安全组与安全规则

安全组通过安全规则控制和过滤进出网卡的流量。一个安全组可以添加多条安全规则。根据创建规则可以分为系统规则和自定义规则：

系统规则：安全组内的网卡默认允许相互访问，系统会自动添加相应的出/入方向规则，该规则优先级高于所有自定义规则，且不可修改或删除。如需取消组内互通，可以停用该规则。
自定义规则：用户自定义添加到安全组的规则。

安全规则由作用方向、作用对象、协议&端口、行为、优先级组成

作用方向：安全规则对流量来源或目的进行控制，按控制的流量流向，可分为入方向规则和出方向规则：
- 入方向规则：针对由外部进入网卡的流量，主要控制流量来源。
- 出方向规则：针对由网卡向外发送的流量，主要控制流量目的。
作用对象：安全规则的生效对象，包括源和目的
- 源：与入方向规则对应，支持使用IP地址/段或安全组作为源
  - IP地址/段：允许/拒绝来自该IP地址/段的流量访问组内网卡。
  - 安全组：允许/拒绝另一个安全组内的网卡访问当前安全组内的网卡。
- 目的：与出方向规则对应，支持使用IP地址/段或安全组作为目的
  - IP地址/段：允许/拒绝组内网卡访问该IP地址/段。
  - 安全组：允许/拒绝当前安全组内的网卡访问另一个安全组内的网卡。
协议&端口：规则作用的数据包协议和对应端口：
- - ALL：表示涵盖所有协议类型，此时不能指定端口。
  - TCP：支持1-65535端口。
  - UDP：支持1-65535端口。
  - ICMP：默认起始结束端口均为-1，表示支持全部的ICMP协议。
  示例：
  - 设置入方向规则，协议TCP，源IP段192.168.12.0/24，端口1000，策略允许，表示允许来自192.168.12.0/24网段的流量使用TCP协议访问组内网卡的1000端口
  - 设置出方向规则，协议UDP，目的IP段192.168.12.0/24，端口1000-1001，策略允许，表示允许组内网卡使用UDP协议访问192.168.12.0/24网段的1000和1001端口。
行为：针对满足规则匹配条件的流量所应采取的具体动作，包括允许和拒绝：
- 允许：允许网络请求流量流入或流出网卡。
- 拒绝：不允许网络请求流量流入或流出网卡。
优先级：
- 由于安全组同时支持黑名单和白名单机制，同一源/目的上被设置多条规则时，可能发生冲突。设置优先级后，同一源/目的优先级最高的规则生效。
- 支持的优先级范围：1-100，数值越大，优先级越低。

安全组与网卡

网卡加入安全组后，才会受安全规则的控制。一张网卡可以加入多个安全组。

安全组优先级：
- 网卡加入多个安全组时，可设置安全组优先级，网卡将首先匹配优先级较高的安全组下的规则。
- 所有管理员安全组优先级高于租户/子账户安全组。
其他流量控制策略：作用于未被安全组规定的流量
- 网卡加入安全组后，除安全规则规定外，默认允许其他所有出方向流量，拒绝其他所有入方向流量。
- 用户也可以自定义调整该策略，控制未被安全组规定的流量。

安全组与权限

安全组分为管理员安全组和租户/子账户安全组。通常，管理员安全组由管理员创建、归管理员所有，租户/子账户安全组由租户/子账户创建，归租户/子账户所有。

租户/子账户只能查看和操作自己所有的安全组。
管理员可以查看和管理全部安全组，其中，管理员安全组可以被绑定到任意虚拟机，租户/子账户安全组只能被绑定到与其所有者一致的虚拟机。

注意事项

若使用安全组同时使用其他网络服务（如负载均衡等），需确保其他网络服务所需要的安全组规则已添加至该安全组中。
安全组实际上是一个分布式防火墙，每次规则变化、加入/删除网卡都会导致多个虚拟机上的安全组规则被更新。

创建安全组

在ZStack Cube 双引擎版主菜单，点击虚机服务 > 网络服务 > 网络服务 > 安全组，进入安全组界面，点击创建安全组，弹出创建安全组界面。

可参考以下示例输入相应内容：

名称：设置安全组名称
简介：可选项，可留空不填
网卡：可选项，选择虚拟机网卡加入安全组，虚拟机网卡可在创建安全组时直接添加，也可在创建安全组后添加
入方向规则：可选项，设置外部流量对网卡的访问规则，可在创建安全组时直接设置，也可在创建安全组后添加
出方向规则：可选项，设置网卡的对外访问规则，可在创建安全组时直接设置，也可在创建安全组后添加

添加出/入方向规则时，需设置以下参数：

类型：展示该规则控制的流量流向
优先级：可选项，设置规则的生效优先级，取值范围：1-100范围内的整数。数值越大，优先级越低
说明:
- 如不手动设置，该规则默认排在当前所有已有规则之后。
- 如填写的优先级已被占用，则原占用该优先级的规则将自动向后顺延。例如，设置当前规则优先级为 2，则原优先级为 2 的规则顺延为 3，原优先级为 3 的规则顺延为 4，以此类推。
IP地址类型：选择IP地址类型
协议：选择规则针对的通信协议类型，支持ALL、TCP、UDP、ICMP四种类型
端口：选项TCP或UDP时，需设置规则针对的端口
说明:
- 如需填写一个端口范围，请用起始端口-结束端口的形式表示。
- 如需填写多个端口或端口范围，请用英文逗号“,”隔开，最多可填写10个。
源：添加入方向规则时需设置此项，表示允许/拒绝来自指定IP地址/段或安全组的访问
说明:
- 按IP地址/段指定时，可填写一个IP范围，用起始IP-结束IP的形式表示
- 按IP地址/段指定时，可填写CIDR，如同时填写CIDR和其他类型的IP地址，则CIDR的掩码必须为24位；如只填写CIDR，则无掩码限制。请勿使用0.0.0.0/0或::/0。
- 如需填写多个IP地址/段，请用英文逗号“,”隔开。
目的：添加出方向规则时需设置此项，表示允许/拒绝组内网卡访问指定IP地址或安全组
说明:
- 按IP地址/段指定时，可填写一个IP范围，用起始IP-结束IP的形式表示
- 按IP地址/段指定时，可填写CIDR，如同时填写CIDR和其他类型的IP地址，则CIDR的掩码必须为24位；如只填写CIDR，则无掩码限制。请勿使用0.0.0.0/0或::/0。
- 如需填写多个IP地址/段，请用英文逗号“,”隔开。
启用状态：设置安全组创建完成后是否直接启用该规则，默认为启用；如设置为停用，安全组创建完成后，组内的网卡不会匹配这条规则，直到您手动启用它
简介：可选项，可留空不填

如图 1所示：

升级提醒

若您选择升级至4.0.0及之后版本，请注意以下功能调整：

1. 云路由器全面升级为VPC路由器，云路由网络全面升级为VPC网络，不再单独设云路由器页面。升级全程无感知，相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户，不再单独设用户/用户组页面，不可再使用用户/用户组账号登录云平台。升级前，请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管，再执行升级操作。注意：对于admin创建并具备admin权限的用户账号同步取消，如有需要，可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式，统一由企业管理纳管，不再单独设AD/LDAP页面。升级前，请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管，再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助，请联系ZStack官方技术支持

下载提醒

1.灵活的备份计划设置：轻松设定备份计划，自定义备份策略和保留策略，增量备份和全量备份可以设置不同的保留策略，在保证数据安全的同时最大限度地优化存储空间。

2.第三方认证服务器支持添加AD和LDAP，支持同步AD/LDAP用户成为虚拟化平台子账户，并使用指定的登录属性直接登录虚拟化平台。

3.分布式交换机不同主机上的上行链路网卡可以同时支持单网卡和聚合网卡，可以灵活配置网络，满足服务器虚拟化用户的网络配置需求。

如对上述升级提醒有任何疑问或需要下载帮助，请联系ZStack官方技术支持

安全组

概述

功能框架

注意事项

创建安全组

产品

解决方案

支持

联系