什么條件下可以刪除安全組？

• 刪除安全組前，需要確保該安全組沒有與任何云資源相關聯。如果安全組被云資源（云主機、物理機等）使用，請先釋放對應云資源或者修改云資源使用的安全組，然后再嘗試刪除安全組。
• 刪除安全組時，若該安全組被另一個安全組規則關聯（例如“源地址”選擇為該安全組），需先刪除或修改關聯的安全組規則，然后再嘗試刪除該安全組。
• 地域資源池的默認安全組不能刪除。

彈性云主機加入安全組過后能否變更安全組？

可以。

變更安全組的詳細操作，請參考實例加入/移出安全組頁面。

您也可以選擇在彈性云主機的詳情頁執行變更安全組的操作，具體請參考“查看彈性彈性云主機的安全組”頁面。

安全組、ACL服務是否收費？

安全組和ACL服務均免費。

安全組和ACL服務均免費，但與安全組、ACL搭配使用的其他云產品（例如彈性云主機）將會按照其自身的計費規則收取相應的費用，詳情請參見加入安全組或ACL的云產品幫助文檔計費章節。例如：

變更安全組規則時，是否對原有流量實時生效？

對于可用區資源池，安全組規則配置變更，對于原有流量不會立刻生效。用戶需斷開變更規則所影響的流量后，再重新建立連接，變更后的規則才能對流量生效。

對于可用區資源池來說，安全組是有狀態的，即無論安全組入方向的規則如何，都允許對出方向流量的響應流入實例，反之亦然。在安全組規則增加或刪除時，或者該安全組下實例創建、刪除時，會自動清除該安全組下所有實例原來的連接跟蹤，此時，流入或流出實例的流量會被當做新的連接，需要重新匹配相應入方向或出方向的安全組規則，以保證規則能立即生效，從而保障流入實例的流量的安全。

對于地域資源池，安全組規則配置變更連接狀態會立即生效，地域資源池會保證規則優先，如果規則有變更則會立即生效。

如何判斷安全組規則是否重復？

當您的協議、類型、端口范圍、源/目的地址均相同時，將判斷您的規則為重復規則，且不允許下發。當添加或導入規則時，如果安全組中已存在相同規則，則對應的規則將無法添加。

安全組創建成功后，當您的云服務器需要與外部網絡通訊時，您可根據業務需求自定義添加新的出方向、入方向安全組規則，這可以幫助保護服務器免受未經授權的訪問。

• 原則上，安全組規則取最小權限原則，通過設置所需的端口和協議，限制對必要IP地址的訪問。只允許最少必要的流量進出您的資源實例。
• 定期更新安全組規則，以適應您的業務需求的變化。不再需要的規則應被刪除，根據業務變化添加新的安全組規則。

如何查看安全組關聯的云服務器？

方法1：在云服務器對應的管理控制臺進行查看。

點擊云服務器名稱進入詳情頁，在安全組頁簽下查看云服務器關聯的安全組詳情。

方法2：在安全組詳情頁的關聯實例頁簽下查看云服務器。

點擊目標的安全組名稱進入詳情頁，在“關聯實例”頁簽下查看該安全組所關聯的云服務器，支持變更云服務器與安全組之間的關聯關系。

無法訪問公有云的某些端口時怎么辦？

問題現象 ：訪問公有云特定端口，在部分地區部分運營商無法訪問，而其他端口訪問正常。

問題分析 ：部分運營商判斷如下表的端口為高危端口，默認被屏蔽無法訪問。

解決方法 ：建議您修改敏感端口為其他非高危端口來承載業務。

為什么網絡 ACL添加了拒絕特定IP地址訪問的規則，但仍可以訪問？

網絡ACL存在規則優先級。優先級的數值越小，表示優先級越高。針對可用區資源池來講，“- -”表示默認規則，優先級最低。

多個網絡ACL規則沖突，優先級高的規則生效，優先級低的不生效。

ACL規則的優先級是默認生成的，先添加的規則默認優先級最高。優先級支持手動調整，您可在ACL詳情中點擊調整規則按鈕，在彈窗中選擇要調整的規則，拖拽到需調整的位置即可。

當您需要拒絕某個IP地址的訪問時，可以將其優先級設置為最高優先級，拒絕特定IP地址訪問的規則將優先生效。具體操作請參見調整ACL規則優先級。

為什么配置的安全組規則不生效？

問題現象

為云服務器配置的安全組規則未生效。

問題分析

當配置規則不生效時，建議從以下幾個原因去排查問題，可以優先排查高頻率原因。

• 安全組配置有誤；
• 安全組規則與ACL規則的配置有沖突；
• 云服務器防火墻的限制。

安全組配置錯誤

當安全組規則配置有誤時，無法滿足期望的業務流量。您可以按照以下幾點原因對安全組配置進行檢查：

1. 安全組規則方向設置錯誤，例如將需要在入方向添加的規則添加到出方向規則下。
2. 安全組規則協議類型未選擇正確。
3. 對應端口為高危端口，在部分地區部分運營商無法訪問，建議您修改敏感端口為其他非高危端口來承載業務。
4. 對應端口未開通。在服務器中需要被正常監聽的端口未放通。

• 例如，需要通過TCP（80端口）訪問到您的服務器，可以在入方向規則放通TCP，80端口。您可以通過登錄彈性云服務器查看安全組規則是否生效。
• 以Linux彈性云服務器為例，運行如下命令查看TCP 80端口是否被監聽。

netstat -an | grep 80

5. 對于地域資源池來說，需要保證云服務器屬于同一VPC。不同的VPC之間默認網絡隔離，安全組需在網絡互通的情況下生效。您可以使用對等連接等產品建立VPC連接互通，使得安全組能對不同VPC內云服務器的流量進行訪問控制。

網絡ACL規則與安全組規則沖突

安全組是一種虛擬防火墻，主要控制云服務器的進出流量，網絡ACL是子網級別的安全防護，保障關聯子網內的資源安全。

例如當您設置了安全組入方向規則放通80端口，同時設置的網絡ACL規則包含拒絕80端口的規則，那么從結果上看80端口仍然無法訪問。

具體配置細則您可以參考添加ACL規則或添加安全組規則。

云服務器防火墻限制

查看云服務器的防火墻是否限制了需要開放的端口。關于云防火墻的訪問控制策略配置可參考添加防護規則。

提交工單

如果上述方法均不能解決您的疑問，請提交工單尋求更多幫助。