--- title: 安全性群組 | zh tags: Guide, VCS, SG, TW GA: UA-155999456-1 --- {%hackmd @docsharedstyle/default %} {%hackmd @docsharedstyle/twccheader-zh %} # 安全性群組 TWCC 提供安全性群組功能，使用者可透過設定安全規則進行虛擬運算個體、負載平衡器的網路安全控管，管理允許連入連出的網段、協定、連接埠。 :::info {%hackmd @docsharedstyle/note-zh %} - 安全性群組功能是為各個虛擬運算個體、負載平衡器設定個別的安全規則而設計，所以必須先建立至少一個可用的虛擬運算個體、負載平衡器，才可以設定其安全群組規則。 - 虛擬運算個體安全性群組可獨立管理，負載平衡安全性群組生命週期則依附於負載平衡器，兩者使用流程不同，詳細流程請參考 [虛擬運算個體 - 安全性群組](#虛擬運算個體---安全性群組)、[負載平衡器 - 安全性群組](#負載平衡器---安全性群組)。 - 租戶管理員、租戶使用者對於安全性群組使用權限之差異，請參考：[<ins>使用者角色與權限</ins>](https://man.twcc.ai/@twccdocs/role-main-zh/https%3A%2F%2Fman.twcc.ai%2F%40twccdocs%2Frole-netndsec-zh#%E5%AE%89%E5%85%A8%E6%80%A7%E7%BE%A4%E7%B5%84)。 ::: ## 虛擬運算個體 - 安全性群組 您可於[建立虛擬運算個體](https://man.twcc.ai/@twccdocs/guide-vcs-create-zh)時，建立預設[^1]或選擇自訂安全性群組套用至虛擬運算個體，並至安全性群組進行安全性群組管理、規則管理 [^1]:單一專案的安全性群組上限為200個，若無法建立可能是因為已達到總量上限。建議您，若先前已建立過安全性群組，可以盡量**選擇**已建立的，減少創建新的。 ### 預設安全性群組與規則 透過以下兩種使用流程，系統將為您建立預設的安全性群組與規則，若不敷使用請您自行[建立更多規則](#建立安全性群組與規則)。 1. [建立虛擬運算個體](https://man.twcc.ai/@twccdocs/guide-vcs-create-zh)時，選擇套用「**建立安全性群組**」，將會為個體建立並套用預設群組與以下預設規則。預設建立的群組，名稱將由 `{instance_id}_{instance_name}_sg` 組成，預設規則如下： :::info :::spoiler 虛擬運算個體預設之安全性群組規則 :::info <i class="fa fa-paperclip fa-20" aria-hidden="true"></i> **附註：** - TWCC Linux 個體預設開放的輸入/輸出規則： | 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大)| 協定|CIDR | | -------- | -------- | -------- |-------- | -------- | -------- | | ingress | IPv4 | 443 |443 | tcp|0.0.0.0/0 | | ingress | IPv4 | 22 | 22|tcp |0.0.0.0/0 | | ingress | IPv4 | | |icmp | 0.0.0.0/0| | egress | IPv4 | | |ANY |0.0.0.0/0 | | egress | IPv6 | | |ANY |::/0 | - TWCC Windows 個體預設開放的輸入/輸出規則： | 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大)| 協定|CIDR | | -------- | -------- | -------- |-------- | -------- | -------- | | ingress | IPv4 | 9833 |9833 | tcp|0.0.0.0/0 | | ingress | IPv4 | 443 |443 | tcp|0.0.0.0/0 | | ingress | IPv4 | 22 | 22|tcp |0.0.0.0/0 | | ingress | IPv4 | | |icmp | 0.0.0.0/0| | egress | IPv4 | | |ANY |0.0.0.0/0 | | egress | IPv6 | | |ANY |::/0 | :::danger <i class="fa fa-exclamation-triangle fa-20" aria-hidden="true"></i> **重要：** 因資安事件頻傳，如果您的連線來自以下這些國家，我們將關閉您使用遠端連線至 Windows 個體的功能 (連接埠：9833)：中國、德國、法國、韓國、荷蘭、波蘭、俄國 若需連線 TWCC Windows 個體，請您與客服聯絡。 ::: 2. 於「安全性群組管理」頁，[建立安全性群組與規則](#建立安全性群組與規則)，若不自訂群組規則將會預設建立以下開放基本對外連線的規則。 | 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大)| 協定|CIDR | | -------- | -------- | -------- |-------- | -------- | -------- | | egress | IPv4 | | |ANY |0.0.0.0/0 | | egress | IPv6 | | |ANY |::/0 | :::danger {%hackmd @docsharedstyle/important-en %} 建議您**不要**將預設的「egress」規則刪除，若刪除可能會導致虛擬運算個體無法正常連線。 ::: ### 檢視安全性群組與規則 <!-- 1 start --> <details class="docspoiler"> <summary><b>TWCC 入口網站</b></summary> <br> * 由服務列表點選「**虛擬運算個體**」> 左側選擇「**聯網與資安**」 > 「**安全性群組**」，進入「**安全性群組管理**」頁面，即可檢視安全性群組列表，選擇一群組後即可檢視群組所涵蓋的規則。   </details> <!-- Space --> <div style="height:8px"></div> <!-- 2. start --> <details class="docspoiler"> <summary><b>TWCC CLI (TBD)</b></summary> <br> </details> ### 建立安全性群組與規則 <!-- 1 start --> <details class="docspoiler"> <summary><b>TWCC 入口網站</b></summary> <br> * 參考上方[檢視安全性群組規則](#檢視安全性群組與規則)進入虛擬運算個體「**安全性群組規則管理**」頁，點擊「**＋建立**」，可創建新的群組與規則。  * 進入「**建立安全性群組**」頁面，可於基本資訊自訂群組名稱與描述  * 接著點選「**下一步：規則>**」可新增並填寫規則的設定資訊，完成後點擊「**下一步：檢閱+建立>**」。 - 方向：選擇「ingress」輸入或「egress」輸出。 - 連接埠範圍(最小)：設定套用此規則開始的連接埠。 - 連接埠範圍(最大)：設定套用此規則結束的連接埠。 - 協定：選擇欲管控的協定如 tcp、udp、icmp... 等。 - CIDR：適用此規則的 CIDR 網段。  :::danger {%hackmd @docsharedstyle/important-zh %} - 考量資安風險，CIDR 請勿設定 x.x.x.x"/0" (即與 0.0.0.0/0 等效) 之危險網段。 - 連接埠範圍請審慎設定，並請小心衡量開放範圍。為避免入侵風險，不建議您設定 ingress 連接埠範圍為 0 ~ 65535。 ::: * 檢視安全性群組規則的設定資訊及計畫的額度資訊，確定後點選「**建立**」。  * 建立完成後，規則列表即會新增您所建立的安全規則與[預設提供的規則](#檢視安全性群組與規則)。  </details> <!-- Space --> <div style="height:8px"></div> <!-- 2. start --> <details class="docspoiler"> <summary><b>TWCC CLI (TBD)</b></summary> </details> <br> ### 删除安全性群組規則 <!-- 1 start --> <details class="docspoiler"> <summary><b>TWCC 入口網站</b></summary> <br> 參考上方[檢視安全性群組規則](#檢視安全性群組規則)進入虛擬運算個體「**安全性群組規則管理**」頁 > 勾選規則 > 點擊上方「**刪除**」。  或點擊規則右邊之 「<i class="fa fa-ellipsis-v fa-20" aria-hidden="true"></i>」 選單按鈕，並點擊「**刪除**」。 </details> <!-- Space --> <div style="height:8px"></div> <!-- 2. start --> <details class="docspoiler"> <summary><b>TWCC CLI (TBD)</b></summary> </details> <br> :::info {%hackmd @docsharedstyle/note-zh %} - 虛擬運算個體的安全性群組，其生命週期不受虛擬運算個體影響，因此個體刪除後，群組與規則仍可於安全性群組管理頁檢視與管理。 - 若安全性群組已套用至虛擬運算個體，請先至 [個體詳細資料頁](https://man.twcc.ai/@twccdocs/guide-vcs-view-and-edit-instance-zh) 移除該安全性群組才可刪除。 ::: ### 將安全性群組套用至虛擬運算個體 已建立的安全性群組，您可以於以下流程將群組設定套用至虛擬運算個體： - [建立虛擬運算個體](https://man.twcc.ai/@twccdocs/guide-vcs-create-zh)時，選擇自訂安全性群組套用至虛擬運算個體。 - 虛擬運算個體建立後，至[個體詳細資料頁](https://man.twcc.ai/@twccdocs/guide-vcs-view-and-edit-instance-zh) 新增安全性群組。 :::info {%hackmd @docsharedstyle/note-zh %} 同一安全性群組，可套用至多個不同的虛擬運算個體。 ::: ## 負載平衡器 - 安全性群組 ### 檢視安全性群組規則 <!-- 1 start --> <details class="docspoiler"> <summary><b>TWCC 入口網站</b></summary> <br> 由服務列表點選「**負載平衡**」> 左側選擇下方的「**安全性群組**」，即可進入「**安全性群組管理 (負載平衡器列表)**」頁面。   * 選擇負載平衡器後，進入安全規則管理頁面，即可檢視目前已設定的安全性群組規則。  </details> <!-- Space --> <div style="height:8px"></div> <!-- 2. start --> <details class="docspoiler"> <summary><b>TWCC CLI (TBD)</b></summary> <br> </details> <br> :::info :::spoiler 負載平衡器預設之安全性群組規則 :::info <i class="fa fa-paperclip fa-20" aria-hidden="true"></i> **附註：** - TWCC 應用程式負載平衡器 (監聽器協定為 HTTP) 預設開放的輸入/輸出規則： | 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大)| 協定|CIDR | | -------- | -------- | -------- |-------- | -------- | -------- | | ingress | IPv4 | 80 | 80 |tcp | 0.0.0.0/0| | ingress | IPv4 | 1025 | 1025 |tcp | 0.0.0.0/0| | ingress | IPv4 | | | 51|0.0.0.0/0 | | ingress | IPv4 | | | 112|0.0.0.0/0 | | egress | IPv4 | | |ANY |0.0.0.0/0 | | egress | IPv6 | | |ANY |::/0 | - TWCC 應用程式負載平衡器 (監聽器協定為 HTTPS)、網路負載平衡器 (監聽器協定為 TCP) 預設開放的輸入/輸出規則： | 方向 | 網路類型 | 連接埠 (最小) | 連接埠 (最大)| 協定|CIDR | | -------- | -------- | -------- |-------- | -------- | -------- | | ingress | IPv4 | 443 | 443 |tcp | 0.0.0.0/0| | ingress | IPv4 | 1025 | 1025 |tcp | 0.0.0.0/0| | ingress | IPv4 | | | 51|0.0.0.0/0 | | ingress | IPv4 | | | 112|0.0.0.0/0 | | egress | IPv4 | | |ANY |0.0.0.0/0 | | egress | IPv6 | | |ANY |::/0 | ::: :::danger {%hackmd @docsharedstyle/important-zh %} 因資安事件頻傳，如果您的連線來自以下這些國家，我們將關閉您使用遠端連線至 Windows 個體的功能 (連接埠：9833)：中國、德國、法國、韓國、荷蘭、波蘭、俄國 若需連線 TWCC Windows 個體，請您與客服聯絡。 ::: ### 建立安全性群組規則 <!-- 1 start --> <details class="docspoiler"> <summary><b>TWCC 入口網站</b></summary> <br> * 參考上方[檢視安全性群組規則](#檢視安全性群組規則)進入負載平衡器的「**安全性群組規則管理**」頁，點擊「**＋建立**」，可創建新的規則。  * 進入「**建立安全性群組規則**」頁面，填寫規則的設定資訊，完成後點擊「**下一步：檢閱+建立>**」。 - 方向：選擇「ingress」輸入或「egress」輸出。 - 連接埠範圍(最小)：設定套用此規則開始的連接埠。 - 連接埠範圍(最大)：設定套用此規則結束的連接埠。 - 協定：選擇欲管控的協定如 tcp、udp、icmp... 等。 - CIDR：適用此規則的 CIDR 網段。  * 檢視安全性群組規則的設定資訊及計畫的額度資訊，確定後點選「**建立**」。  * 建立完成後，列表即新增一項新的安全規則。  </details> <!-- Space --> <div style="height:8px"></div> <!-- 2. start --> <details class="docspoiler"> <summary><b>TWCC CLI (TBD)</b></summary> <br> </details> <br> :::danger {%hackmd @docsharedstyle/important-zh %} - 考量資安風險，CIDR 請勿設定 x.x.x.x"/0" (即與 0.0.0.0/0 等效) 之危險網段。 - 連接埠範圍請審慎設定，並請小心衡量開放範圍。為避免入侵風險，不建議您設定 ingress 連接埠範圍為 0 ~ 65535。 ::: ### 删除安全性群組規則 <!-- 1 start --> <details class="docspoiler"> <summary><b>TWCC 入口網站</b></summary> <br> 參考上方[檢視安全性群組規則](#檢視安全性群組規則)進入負載平衡器的「**安全性群組規則管理**」頁 > 勾選規則 > 點擊上方「**刪除**」。  或點擊規則右邊之 「<i class="fa fa-ellipsis-v fa-20" aria-hidden="true"></i>」 選單按鈕，並點擊「**刪除**」。 </details> <!-- Space --> <div style="height:8px"></div> <!-- 2. start --> <details class="docspoiler"> <summary><b>TWCC CLI (TBD)</b></summary> <br> </details> <br>