阿里云ECS服务器安全组是云服务器的防火墙,具有状态监测和数据包过滤功能。用户在云端划分安全域。之前只有普通安全组,最近阿里云上线了企业安全组,能添加更多ECS服务器实例、弹性网卡和私有网络IP地址。同时精简安全组设置规格,使用更加方便。企业安全组适用于对运维效率、ECS实例规格以及计算节点规模有更高需求的场景。
一、阿里云服务器普通安全组与企业安全组对比
普通安全组和企业安全组的不同看下面表格。
| 功能对比 |
普通安全组 |
企业安全组 |
| 支持所有实例规格 |
是 |
否,实例网络类型必须是专有网络VPC |
| 支持专有网络VPC |
是 |
是 |
| 支持经典网络 |
是 |
否 |
| 支持设置规则优先级 |
是 |
否 |
| 支持授权给其他安全组 |
是 |
否 |
| 支持手动设置允许访问的安全组规则 |
是 |
是 |
| 支持手动设置拒绝访问的安全组规则 |
是 |
否,企业安全组默认拒绝任何访问请求 |
| 支持绑定弹性网卡到任意实例规格 |
否,实例网络类型必须是专有网络VPC |
否,但实例网络类型必须是专有网络VPC |
| 能容纳的私网IP地址数量 |
2000 |
65536 |
| 默认支持同一个安全组内ECS实例互通 |
是 |
否,需要您单独添加安全组规则 |
更多参阅官方文档。
计费
使用企业安全组不会产生额外计费。
使用限制
企业安全组的使用限制及配额
| 功能对比 |
普通安全组 |
企业安全组 |
| 支持所有实例规格 |
是 |
否,实例网络类型必须是专有网络VPC |
| 支持专有网络VPC |
是 |
是 |
| 支持经典网络 |
是 |
否 |
| 支持设置规则优先级 |
是 |
否 |
| 支持授权给其他安全组 |
是 |
否 |
| 支持手动设置允许访问的安全组规则 |
是 |
是 |
| 支持手动设置拒绝访问的安全组规则 |
是 |
否,企业安全组默认拒绝任何访问请求 |
| 支持绑定弹性网卡到任意实例规格 |
否,实例网络类型必须是专有网络VPC |
否,但实例网络类型必须是专有网络VPC |
| 能容纳的私网IP地址数量 |
2000 |
65536 |
| 默认支持同一个安全组内ECS实例互通 |
是 |
否,需要您单独添加安全组规则 |
企业安全组收费标准
使用企业安全组功能不会额外产生费用。
企业安全组使用限制
| 限制项 |
普通安全组限制 |
企业安全组限制 |
| 一个账号在一个地域可以创建的安全组数量 |
100 |
与普通安全组相同 |
| 一个经典网络类型的安全组能容纳的经典网络类型ECS实例数量 |
1000* |
不支持经典网络 |
| 一个专有网络VPC类型的安全组能容纳的VPC类型ECS实例数量 |
不固定,受安全组能容纳的私网IP地址数量影响 |
无限制 |
| 一台ECS实例可以加入的安全组数量 |
5 |
与普通安全组相同 |
| 一台ECS实例的每张弹性网卡可以加入的安全组数量 |
如需提高上限,请提交工单,可以增加到10个或者16个安全组。 |
|
| 一个安全组最大规则数量(包括入方向规则与出方向规则) |
200* |
与普通安全组相同 |
| 一张弹性网卡在所有已加入的安全组中的最大规则数量(包括入方向规则与出方向规则) |
1000 |
与普通安全组相同 |
| 一个专有网络VPC类型的安全组能容纳的私网IP地址数量 |
2000** |
65536 |
| 公网访问端口 |
出方向的STMP默认端口25默认受限,而且不能通过安全组规则打开。关于如何申请解封,请参见TCP 25端口控制台解封申请。 |
与普通安全组相同 |
总体上来说阿里云ECS服务器实例只允许加入一种安全组,普通安全组和企业安全组只能二选一加入。考虑到更大流量业务需要,阿里云设置了替换安全组功能,可以无缝切换普通安全组和企业安全组。
