安全组基础配置
通过阿里云控制台访问ECS实例管理界面,定位目标实例后进入安全组配置模块。选择入方向规则配置,添加包含以下要素的新规则:
- 协议类型选择TCP/UDP
- 端口范围填写需开放的端口号(如80-80)
- 授权对象设置为0.0.0.0/0允许公网访问
配置完成后需验证安全组已关联当前ECS实例,建议优先应用最小开放原则控制暴露面。
端口映射操作流程
对于容器服务等需要多层转发的场景,需执行双重配置:
- 在安全组开放宿主机端口
- 通过firewall-cmd命令配置宿主机防火墙规则
firewall-cmd --add-port=8081/tcp --permanent firewall-cmd --reload
配置弹性公网IP时需注意绑定状态检查,建议为生产环境配置固定公网IP。
防火墙联动设置
完成云平台配置后需验证操作系统级防火墙状态:
systemctl status firewalld firewall-cmd --list-all
建议采用端口范围白名单机制,避免开放非必要服务端口。配置完成后可通过telnet或在线端口检测工具验证映射结果。
实施建议
配置过程需遵循”先安全组后系统防火墙”的次序,建议在非业务高峰时段操作。对于关键业务端口,推荐配合访问日志监控和安全组变更审计功能。
