普通安全组与企业级安全组

说明

当一台ECS实例或一块弹性网卡关联多个安全组时，这些安全组只能是普通安全组或企业级安全组中的一种类型，不能混合关联普通安全组和企业级安全组。

单个安全组能容纳的私网IP地址数量

在您将ECS实例、弹性网卡、ECI实例等资源关联到安全组时，这些资源将会占用安全组的私网IP地址容量。需要注意的是，单个资源的私网IP数量会有一个或多个。

具体的容量对比如下表所示：

在VPC网络下，相比于普通安全组，企业级安全组可以容纳更多的私网IP地址数量。如果您集群中的私网IP数量较多，普通安全组无法容纳，阿里云建议您使用企业级安全组。

支持安全组作为授权对象

安全组作为授权对象，是指添加一条安全组规则，规则的授权对象为一个安全组ID。

支持组内互通功能

普通安全组的组内互通功能，可以理解为一种授权本安全组内ECS实例内网访问的特殊规则。您可以通过修改组内连通策略，来开启或关闭普通安全组的组内互通功能。在企业级安全组中，安全组内的ECS实例默认组内隔离，您不能将企业级安全组的内网连通策略设置为组内互通。

默认访问控制规则

普通安全组和企业级安全组的默认访问控制规则有所不同，普通安全组的组内连通策略，会影响其默认访问控制规则。安全组的默认访问控制规则是不可见的，与您自定义的安全组规则，共同作用如下：

说明

下文中的序号用于表示规则排序后的顺序，决定流量能否通过时，按照序号依次匹配。

普通安全组

由上述对比列表可知，对于普通安全组，组内连通策略会影响入方向流量的默认访问控制规则。在组内连通策略被设置为组内互通时，阿里云会默认放行同安全组内其他ECS实例通过内网访问的流量。阿里云建议您遵循最小权限原则，在不需要普通安全组内ECS实例间内网互通时，将普通安全组的组内连通策略设置为组内隔离。

企业级安全组

• 入方向：

  如下表所示，在企业级安全组中，如果入方向流量与安全组入方向规则匹配，将按照规则指定的授权策略，允许或拒绝放行（序号1）。其他任何入方向流量，将会被拒绝访问（序号2）。

  序号（优先级顺序）	规则类型	流量类型	处理动作
  1	自定义规则	排序后多个安全组自定义规则匹配的流量	允许或拒绝（根据授权策略）
  2	默认访问控制规则（不可见）	其他任何流量	拒绝

• 出方向：

  如下表所示，在企业级安全组中，如果出方向流量与安全组出方向规则匹配，将按照规则指定的授权策略，允许或拒绝放行（序号1）。其他任何出方向流量，将会被拒绝访问（序号2）。

  序号（优先级顺序）	规则类型	流量类型	处理动作
  1	自定义规则	排序后多个安全组自定义规则匹配的流量	允许或拒绝（根据授权策略）
  2	默认访问控制规则（不可见）	其他任何流量	拒绝

其他对比