华为云账号注销重开 华为云国际安全组配置

你有没有试过：在华为云国际站（console.huaweicloud.com）里，把安全组规则从0.0.0.0/0、22端口、TCP全放开，SSH死活连不上？

你有没有对着控制台左点右点，发现“入方向”和“出方向”按钮长得一模一样，但填完规则后，ping不通、telnet超时、Web页面白屏——最后发现是规则方向写反了？

别急，这不是你的网络基础差，也不是服务器挂了，更不是玄学……是华为云国际站的安全组逻辑，和国内站（cloud.huaweicloud.com）表面相似，骨子里拧巴。今天这篇，不讲PPT式理论，不列干巴巴的API参数，就带你手把手走一遍真实配置流程，顺手把那些文档里没写、论坛里没人说、客服也一脸懵的坑，全给你刨出来、踩平了、再撒上葱花。

一、先划重点：国际站 ≠ 国内站，别套用老经验

很多工程师第一次用国际站，下意识打开国内站教程照着抄——结果栽得特别稳。为什么？

• 域名不同：国际站是 console.huaweicloud.com，国内是 cloud.huaweicloud.com，登录账号体系、区域列表、甚至默认语言都不同；
• 控制台UI微调：国际站安全组页面多了一层“Security Group Rules”二级菜单，入口藏得比初恋还深；
• 规则生效逻辑更严格：国际站对源/目标IP CIDR格式校验更狠，输个192.168.1.1不带掩码？直接报错；
• ICMP默认不放行：国内站新建安全组会自动加一条“允许所有ICMP”，国际站？没有。所以你ping不通，真不是网络问题，是它压根儿没理你。

二、实操四步走：从创建到连通，一步不跳

Step 1：找到那个“藏起来”的安全组入口

登录 console.huaweicloud.com → 左上角Region选好（比如ap-southeast-1新加坡）→ 顶部导航栏点Services → 搜索框输入Virtual Private Cloud → 进入VPC控制台 → 左侧菜单别点“Security Groups”，要找“Security Group Rules”（注意复数！）→ 再点右上角Create Security Group。

⚠️警告：如果你点了“Security Groups”主菜单，进去只能看列表，没法直接建规则——这是国际站最经典的“入口迷宫”，90%的人卡在这一步。

华为云账号注销重开 Step 2：命名别随便，规则别贪多

创建时，Name建议带环境+用途，比如：sg-prod-web-ssh-http。Description写清楚：“放行22/80/443，仅限运维IP和CDN回源段”。别写“test”或“temp”，一个月后你自己都认不出这玩意儿是干啥的。

规则不是越多越好。国际站单安全组最多100条规则，但每多一条，匹配开销+1，且容易互相覆盖。我们坚持一个原则：最小权限 + 明确来源。

Step 3：规则配置——方向、协议、端口、源IP，四件套必须闭环

添加规则时，最关键的四个字段：

1. Direction：务必看清是Ingress（入）还是Egress（出）。SSH连服务器？你要放的是入方向流量（外部连进来）；服务器要访问外网API？才需要配出方向规则。很多人把SSH规则配成Egress，然后纳闷：“我怎么连自己服务器？”——你是在放服务器往外连，不是让别人连你。
2. Protocol：TCP/UDP/ICMP/ALL。别图省事选ALL，除非你真需要全协议开放。HTTP用TCP，DNS查解析用UDP，测试连通性必须单独加ICMP。
3. Port Range：这里有个巨坑！国际站不接受22这种单端口写法，必须写成22-22；80-443表示80到443所有端口；如果想开全部，填1-65535，不是0-65535（0端口非法）。
4. Source IP：别再无脑填0.0.0.0/0！生产环境至少限制为运维办公IP段，比如203.123.45.0/24。临时调试？用手机热点IP+短时效规则，完事立刻删。

Step 4：绑定实例前，先检查三件事

规则建完≠万事大吉。绑定ECS前，请默念三遍：

1. 该安全组是否已绑定到目标ECS实例的网卡？（进ECS详情页→Network Interface→Security Groups）
2. ECS操作系统防火墙是否关闭？Ubuntu默认关ufw，CentOS7记得systemctl stop firewalld，别让系统防火墙和云防火墙打架；
3. 实例是否在正确VPC和子网？国际站有些区域（如me-east-1）子网默认路由表没配公网路由，即使安全组开了，也出不去——得手动检查子网关联的路由表是否有0.0.0.0/0指向Internet Gateway。

三、那些让你凌晨三点抓狂的真实故障场景

场景1：“我能ping通，但SSH连不上”

✅ 检查点：
• 安全组入方向是否放了TCP 22？
• 是否误把规则设为Egress？
• ECS上sshd服务是否运行？systemctl status sshd
• /etc/ssh/sshd_config里PermitRootLogin是否为yes（如用root登录）？

场景2：“网站打不开，但curl localhost:80能返回”

✅ 检查点：
• 安全组是否只放了80，忘了443？（现代浏览器强制HTTPS重定向）
• 是否用了ALB/NLB？那得看负载均衡器的安全组，不是后端ECS的！
• 应用监听的是127.0.0.1:80还是0.0.0.0:80？后者才接收外部请求。

场景3：“规则明明生效了，第二天突然失效”

✅ 真相往往是：
• 你改了规则但没点“Save Changes”（国际站编辑后必须手动保存，不像国内站自动存）；
• 或者，你在一个安全组里混用了IPv4和IPv6规则，而ECS只启用了IPv4栈；
• 更隐蔽的：某条优先级更高的拒绝规则（比如“拒绝所有”）挡在了前面——国际站规则按创建时间倒序匹配，越新越靠前，但你可能删过旧规则，导致顺序错乱。建议定期导出规则CSV，用Excel排序复查。

四、进阶建议：让安全组真正“安全”起来

• 用标签管理：给每个安全组打tag，比如env=prod、team=backend，配合CLI批量审计；
• 定期清理：每月执行huaweicloudcli vpc security-group-rules list --security-group-id xxx，删掉30天未修改的临时规则；
• 拒绝默认放行：新建安全组后第一件事，加一条“拒绝所有入方向”（Protocol: ALL, Port: 1-65535, Source: 0.0.0.0/0），再逐条开白名单——防御思维，从第一条规则开始；
• 别信“测试通过就OK”：用nmap -sS -p 22,80,443 your-server-ip扫描端口状态，比telnet更准；用tcpdump -i eth0 port 22抓包，确认流量到底到没到网卡。

最后送一句大实话：云上安全组，不是拼谁开得多，而是拼谁关得巧。你少开一个端口，黑客就少一条路；你多写一行注释，半年后的自己就少熬一小时夜。

现在，去console.huaweicloud.com，打开那个叫“Security Group Rules”的菜单——这次，你心里有谱了。