概述

安全组：为云主机提供三层网络安全控制，控制TCP/UDP/ICMP等数据包进行有效过滤，对指定网络的指定云主机按照指定的安全规则进行有效控制。

功能特点

安全组规则按数据包的流向分为两种类型：
- 入方向：代表数据包从外部进入云主机。
- 出方向：代表数据包从云主机往外部发出。
安全组规则对通信协议支持以下类型：
- ALL：表示涵盖所有协议类型，此时不能指定端口。
- TCP：支持1-65535端口。
- UDP：支持1-65535端口。
- ICMP：默认起始结束端口均为-1，表示支持全部的ICMP协议。
安全组规则支持对数据来源的限制，目前源可以设置为CIDR和安全组。
- CIDR作为源：仅允许指定的CIDR才可通过。
- 安全组作为源：仅允许指定的安全组内云主机通过。
Note: 若两者都设置，只取两者交集。

如Figure 1所示：

Figure 1. 安全组

注意事项

安全组可以挂载到多个云主机，它们会共享相同的安全组规则。
安全组可以挂载到多个三层网络，它们会共享相同的安全组规则。
安全组支持白名单机制，即设置的所有规则均为允许机制，一旦对指定端口设置了允许机制，那么没有被允许的端口就无法通过。
新建安全组时，默认配置了两条规则（即：协议类型为ALL的进口规则和出口规则），用于设置组内互通。用户可以删除这两条默认规则，取消组内互通。
新建安全组时，如果没有设置任何规则，则默认所有的外部访问均禁止进入安全组内的云主机，安全组内云主机访问外部不受限制。
若使用安全组同时使用其他网络服务（如负载均衡、路由表等），需确保其他网络服务所需要的安全组规则已添加至该安全组中。
公有网络、扁平网络和VPC网络均支持安全组服务，安全组服务均由安全组网络服务模块提供，使用方法均相同：使用iptables进行云主机的安全控制。
安全组实际上是一个分布式防火墙，每次规则变化、加入/删除网卡都会导致多个云主机上的安全组规则被更新。