如何创建VPC并配置安全组以保护您的阿里云服务器

将您的基础架构放在云上意味着您可以接触到全球的许多人。但是，这也意味着不怀好意的人可以访问您的服务。保护您的云网络非常重要。阿里云提供虚拟专用网络（VPC），这是一个安全隔离的私有云，将您的弹性计算服务（ECS）实例包含在公有云中。您可以通过配置安全组，从公网公开访问VPC，保护流量。

什么是专有网络？

Virtual Private Cloud （VPC）是您可以完全控制的私有网络。您可以指定网段，并配置路由表和网关。您可以部署阿里云资源，例如ECS实例或负载均衡（SLB）实例。您可以拥有多个 VPC 来建立有关云实例的一些策略。这意味着您可以为 Web 服务器创建一个 VPC，为数据库服务器创建另一个 VPC。

VPC 组件

交换机是连接VPC内不同云资源的基础网络组件。您可以创建交换机将VPC划分为一个或多个子网，它们可以通过内网进行通信。
vRouter 是 VPC 的中枢，用于连接 VPC 中的 vSwitch，并充当 VPC 与其他网络之间的网关。创建VPC时会自动创建vRouter。
私有网段在创建VPC和交换机后，以网段表示法指定VPC的私有IP地址范围。您可以使用下表中列出的标准私有网段或其子网作为 VPC 的私有网段，也可以使用自定义网段：

什么是安全组？

安全组可以看作是一个虚拟防火墙，它提供网络协议、端口和源 IP 流量的状态数据包检测和数据包过滤，以允许或拒绝对 ECS 实例的访问，以提高安全性。在创建ECS实例时，必须选择安全组，因为安全组是安全隔离的重要手段。

您应该将安全组视为白名单。在创建安全组时，默认情况下会将一些默认规则添加到安全组中。您可以维护安全组，也可以手动添加和修改安全组的规则，实现更细粒度的流量控制。安全组具有一些特征。每个ECS实例必须至少属于一个安全组，但可以同时添加到多个安全组中。安全组有两种分类：

基础安全组最多支持 2000 个私有 IP 地址。可以配置入站和出站规则来允许或拒绝 ECS 实例。
高级安全组适用于企业级场景。它可以包含更多的实例、弹性网卡（ENI）和私有 IP 地址，并实现比基本安全组更严格的访问控制级别。

将实例添加到安全组时，还必须遵循一些规则：

必须将每个实例添加到一个或多个安全组中。
实例挂载的辅助弹性网卡可以分配到与实例不同的安全组。
实例不能同时添加到基础安全组和高级安全组中。

创建您的阿里云 VPC

如果要创建阿里云VPC，则需要一个阿里云账号。如果您还没有优惠券，可以在九河云活动期间获得优惠券。

登录到您的云帐户后，转到左侧面板上的 Virtual Private Cloud，单击 Networking 和 CDN，然后单击 Virtual Private Network：

您可以查看 VPC 概览以及一些已创建的信息，例如 IPv4 网段 或每个 VPC 上的 vSwitch 和云实例的数量。在创建 VPC 之前选择适当的区域：

您可以创建新的 VPC。您需要指定 VPC 和 IPv4 CIDR 块的名称。您可以分配 IPv6，也可以不分配。如前所述，在创建 VPC 时，您还需要创建一个 vSwitch。在创建 vSwitch 期间，您必须选择您所在区域的区域。如果您已经创建了一些 ECS 实例，如果您希望它们使用新的 vSwitch，请确保选择它们所在的可用区：

您可以在 VPC 概述页面上查看新 VPC 及其详细信息：

现在，您的 VPC 已创建。您可以创建一个安全组，用于在创建实例期间保护您的 VPC。

为您的 VPC 创建安全组

如果要创建安全组，请转到 ECS 面板：

现在，将左侧面板导航到*"网络和安全* "，然后单击*"安全组"*

在我们的例子中，我们已经创建了一些安全组。让我们通过选择选项创建一个新的。正如我们在安全组部分中所解释的，您可以在创建过程中维护或编辑默认规则。此外，默认情况下会创建基本安全组：

您可以更改一些值，例如高级安全组的类型和传出规则。您应该为安全组提供指示性名称和适当的描述。

您可以为某些特定场景或 ECS 实例角色创建多个安全组。例如，您可以仅为仅允许端口、和的 Web 服务器创建安全组。您可以删除 ICMP 的规则，以便您的实例不会收到任何 ICMP 请求（用于 ping）。配置安全组是定义默认操作或规则的时刻，这些操作或规则应用于过滤将应用安全组的 VPC 内 ECS 实例的出口和入口流量。现在是战略性地定义默认规则的时刻，但您可以稍后添加特定规则。22``80``443