云服务器安全组协议云服务器的安全性谁负责

华为云的一次虚拟ip体验

因为要实现高可用，需要使用到keepalived来实现，keepalived需要虚拟ip。由于阿里云已经不允许ecs上使用虚拟ip（变相必须使用slb）,所以这里ecs选择了

创新互联专注为客户提供全方位的互联网综合服务，包含不限于成都网站制作、网站设计、长阳网络推广、小程序设计、长阳网络营销、长阳企业策划、长阳品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等，从售前售中售后，我们都将竭诚为您服务，您的肯定，是我们最大的嘉奖；创新互联为所有大学生创业者提供长阳建站搭建服务，24小时服务热线：13518219792，官方网址：www.cdcxhl.com

华为云。华为云支持虚拟ip的申请，并且是免费的。接下来说明申请流程和ecs的使用.具体请参考

随后vi。原本是没有这个文件的。

在文件中输入以下内容,DEVICE指新建的网卡，即虚拟ip所在网卡,冒号前面的是现在的网卡名，使用ifconfig可查看，IPADDR为我们在华为云申请的虚拟ip

输入后，保存退出，并reboot重启服务器。

重启后进入ecs后，使用ifconfig查看后，如果多了一个eth0:1的网卡则说明虚拟ip配置成功，如下

此时看看虚拟ip是否能ping通.到此则虚拟ip配置成功

5 如果该虚拟ip想要通过外网访问的话必须绑定公网ip,如下点击绑定即可。

此时外网还不能访问。云服务器所在的default安全组入方向添加ICMP协议，才能ping通。

配置文件如下

可以看到虚拟ip是我们在华为云申请的172.16.0.100，而他需要映射的是俩haproxy的虚拟ip172.40.0.100。

首先我们要保证俩点，一是telnet 172.40.0.100 8888和telnet 172.40.0.100 3306时都显示是连通的，如果这个没通则是docker haproxy的问题，

其次保证telnet 172.16.0.100 8888和telnet 172.16.0.100 3306能显示连通，如果连不通，则说明是宿主机keepalived的

问题，此时可以查看/var/log/message来查看keepalived的错误日志。如果显示都能连通，则本地keepalived启动成功

启动成功日志显示如下,要注意圈住部分，只有出现圈住的部分才是启动成功。

阿里云服务器专用网络安全组怎么设置

小鸟云服务器配备纯SSD架构打造的高性能存储，旨在为用户提供优质、高效、弹性伸缩的云计算服务。

安全策略：设置各种与服务器通过网络通讯的权限和通讯规则的管理。如：允许或禁止某个IP通过某种协议访问本服务器某个端口（这是由安全策略里的“IP筛选器表”来设定和管理），通讯时是否要验证，通过什么方式和加密手段验证（这些是通过“筛选器操作”来设定和管理）。打开方式：控制面板 - 管理工具 - 本地安全策略 - IP安全策略本地计算机使用举例：让指定IP（IP1)(段)可以访问本机（HOST）上的SQLSERVER（1433端口），其它IP不允许连接。步骤1：建立两个IP筛选器，一个是从HOST上的1433到IP1上任何端口的（镜像的）筛选器，命名为SQL SERVER ALLOWED IPs；另一个是HOS上的1433到任何IP任何端口的（镜像的）筛选器，命名为SQL SERVER DENIED IPs；步骤2：建立至少两个筛选操作，一个是“允许”，一个是“阻止”； *以上两个步骤通过右击空白-管理IP筛选器表和筛选器操作来完成. 步骤3：右击空白-创建IP安全策略：点“添加”来添加两条规则。1）选择筛选器SQL SERVER DENIED IPs，对应选择“阻止”操作； 2）选择筛选器SQL SERVER ALLOWED IPs，对应选择“允许”操作。这样，策略就建好了。步骤4：右击策略-指派。只有指派了的策略才会生效

云服务器（阿里云）的安全组设置

安全组是一个ECS的重要安全设置，但对小白用户来说却很难理解其中晦涩难懂的专业术语。websoft9在此介绍个人的理解：

阿里云官方解释：安全组是一种虚拟防火墙，用于设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。每个实例至少属于一个安全组，在创建的时候就需要指定。

注解：简单理解：服务器什么端口（服务）可以被访问，什么端口可以被封锁

例子：服务器80端口是用来提供http服务，如果服务器部署了网站，而没有开放80端口，这个网站肯定访问不了，http: //ip 是打不开的。

这是很常见的问题，用户第一感觉就是购买的服务器有问题或购买的镜像用不了。

远程连接（SSH）Linux 实例和远程桌面连接 Windows 实例可能会失败。

远程 ping 该安全组下的 ECS 实例的公网 IP 和内网 IP 可能会失败。

HTTP 访问该安全组下的 ECS 实例暴漏的 Web 服务可能会失败。

该安全组下 ECS 实例可能无法通过内网访问同地域（或者同 VPC）下的其他安全组下的 ECS 实例。

该安全组下 ECS 实例可能无法通过内网访问同地域下（或者同 VPC）的其他云服务。

该安全组下 ECS 实例可能无法访问 Internet 服务。

当用户购买一个新的服务器的时候，阿里云会提醒选择安全组，对于一部分入门用户来说，第一感觉就是选择一个等级比较高的安全组，这样更为保险。实际上，等级越高，开放的端口越少。甚至连80端口、21端口都被封锁了，导致服务器ping不通、http打不开。这样最常见的访问都无法进行，用户第一感觉就是购买的服务器有问题或购买的镜像用不了。

在Websoft9客服工作中统计发现，96%的用户浏览器http://公网IP 打不开首页，都是因为安全组的设置关闭了80端口所导致。

第一，找到对应的实例，通过安全组配置选项进入设置。

第二，点击“配置规则”，进入安全组规则设置。

coturn服务器配置

注：为了更好的体验，将内容复制到工具中效果才好

#coturn服务器配置

##操作系统：建议使用ubuntu16+

##安装步骤：

以下安装以ubuntu16为例

### 安装软件包

* apt update

* apt install coturn

### 配置coturn服务器

#### 复制DTLS、TLS支持的证书文件（目录中已经有相应的证书）

* cp /usr/share/coturn/examples/etc/turn_server_cert.pem /etc/turn_server_cert.pem

* cp /usr/share/coturn/examples/etc/turn_server_pkey.pem /etc/turn_server_pkey.pem

#### 编辑/etc/turnserver.conf文件

listening-device=eth0 #网卡

listening-port=3478 #对外服务的商品，需要在防火墙、云服务器安全组放通，协议为UDP/TCP，出入站都需要

listening-ip=127.0.0.1 #内网地址

tls-listening-port=5349 #备用端口

listening-ip=172.17.0.4 #局域网地址

relay-ip=172.17.0.4 #局域网地址

external-ip=81.0.187.0 #外网地址

lt-cred-mech

server-name=stun.xxx.cn #域名

realm=stun.xxx.cn #域名

min-port=50001 #穿透需要用到的开始端口需要在防火墙，云服务器安全组中放通

max-port=50009 #穿透需要用到的结束端口

user=test:test #用户名:密码测试或者客户端接入时需要用到

userdb=/var/db/turndb #数据文件的位置，如果没有该文件，启动会有错误提示

cert=/etc/turn_server_cert.pem #密钥相关上面步骤准备的

pkey=/etc/turn_server_pkey.pem #密钥相关上面步骤准备的

no-stdout-log

log-file=/var/tmp/turn.log #日志文件

pidfile="/var/run/turnserver.pid" #pid文件位置

no-stun #不使用stun服务主要用于测试turn中继方式时来关闭stun 更多类容可以参考配置文件自带的说明

### 编辑/etc/default/coturn文件

* 默认是不需要改的，但还是检查一下

* TURNSERVER_ENABLED=1

## 安装完成，重启服务

* service coturn restart

## 端口放通

* 参考各系统、服务器，不赘述

## 测试

* 使用自带工具

turnutils_uclient ip或者域名 -u 用户名 -w 密码

## 客户端使用

iceServers: [{

'urls': 'stun:stun.xxxx.cn:3478',

'credential': "test",

'username': "test"

}

'urls': 'turn:stun.xxxx.cn:3478',