腾讯云企业实名代过 腾讯云国际防火墙规则
你有没有过这种经历?
凌晨两点,服务器部署完,兴冲冲敲下 ssh -p 2222 [email protected],然后——
Connection refused.
Connection timed out.
Operation timed out.
或者干脆,什么也不报,就卡在那一行光标,像被施了定身咒。
你翻文档、查控制台、核对IP、重试三次、重启实例、再重试……最后发现:哦,防火墙没开2222端口。不是安全组没配,是配错了——把入站规则写成了出站;不是没放行,是协议选成了UDP;不是没生效,是规则顺序被后面一条“全部拒绝”给盖掉了。
别急,这真不是你手残。腾讯云国际站(Tencent Cloud International)的防火墙体系,表面看着和国内版差不多,实则暗藏三处关键差异:命名逻辑更西化、默认策略更激进、规则继承链更隐蔽。今天咱不念说明书,不贴API参数,就当你是刚被老板甩来一串海外IP、明天上线的运维新人,咱们边泡咖啡边捋清楚——腾讯云国际防火墙规则,到底怎么配才不翻车?
一、先破个幻觉:你根本没在用“一个”防火墙
很多人搜“腾讯云防火墙”,以为点开“安全组”就万事大吉。错。在国际站,你手上至少握着两把锁,而且它们不商量、不通报、各自为政:
- 安全组(Security Group):绑在云服务器(CVM)、负载均衡(CLB)、数据库(CDB)等实例级别的“贴身保镖”。有状态,自动放行响应流量(比如你发了个HTTP请求出去,返回包不用额外放行)。
- 网络ACL(Network ACL):绑在子网(Subnet)级别的“小区门禁”。无状态,进出流量必须双向配齐;规则按序号执行,遇到第一条匹配就停,后面的全作废。
⚠️ 关键区别来了:
国内站里,新VPC默认不启用网络ACL,等于只有一把锁;
国际站新建VPC时,默认自动创建一条“拒绝所有”的网络ACL,并绑定到子网!
所以你配好安全组,依然连不上——大概率是这扇“子网门禁”在背后默默把你拦在门外。
二、安全组:别再瞎填“0.0.0.0/0”,那是自爆式开放
打开安全组规则页,第一眼看到“源IP”栏写着“0.0.0.0/0”,很多人习惯性一勾——“反正我都要对外服务”。醒醒!这是给黑客送钥匙。
正确姿势是:最小权限原则+分层收敛。
- SSH管理端口(如22或2222):只放你办公IP(比如你公司出口IP是203.123.45.67,就填
203.123.45.67/32;动态IP?上Cloudflare Tunnel或跳板机); - Web端口(80/443):必须放
0.0.0.0/0,但仅限这两端口; - 数据库端口(3306/5432):绝对禁止公网开放!应限制为内网IP段(如
10.0.1.0/24),或通过私有连接(PrivateLink)访问; - ICMP(ping):调试时临时开启,上线前务必关掉——它不传业务数据,但暴露你的主机在线状态。
另外,别信“TCP/UDP”下拉框里的“ALL”——它等于开放65535个端口。要开就明确写端口范围,比如 8000-8010。
三、网络ACL:那个沉默的终结者
腾讯云企业实名代过 去子网详情页,点“网络ACL”,你会看到类似这样的默认规则:
| 规则编号 | 类型 | 协议 | 端口 | 源/目标 | 允许/拒绝 |
|---|---|---|---|---|---|
| 100 | Inbound | All | All | 0.0.0.0/0 | DENY |
看懂了吗?编号100,入站,拒绝所有。而你新增的放行规则,编号默认从1000起——永远排在“拒绝所有”后面,永远不生效。
解法只有两个:
① 把你的放行规则编号设为 小于100(比如10、20、30);
② 或者,删掉那条默认DENY规则(不推荐,易遗漏)。
顺带提醒:网络ACL的入站/出站是独立配置的。开了入站80,不代表出站能回包——你还得加一条出站规则,源=实例内网IP,目标=0.0.0.0/0,协议=ALL(或精确到TCP/UDP)。
四、真实世界排错四步法(亲测有效)
当“连不上”发生,请按顺序问自己:
- 我能ping通这台机器的公网IP吗?
不能 → 检查网络ACL入站ICMP是否放开 + 安全组是否允许ICMP;
能 → 进入下一步; - 我telnet(或nc)这个端口通吗?
telnet 159.xxx.xxx.xxx 2222→ 拒绝 → 安全组没放行该端口或协议;
超时 → 网络ACL在拦截,或实例根本没监听该端口(ss -tlnp | grep :2222确认); - 我的安全组规则,真的绑在当前实例上了吗?
国际站支持多安全组绑定,常有人改了A组,却把实例绑在B组上——去实例详情页→“安全组”标签页,亲手点开确认; - 子网有没有被多个网络ACL绑定?
一个子网只能绑一个网络ACL,但ACL本身可被多个子网复用。检查该ACL是否被其他测试环境误用,导致规则冲突。
五、抄作业时间:一份“上线前必检”最小化清单
以下规则,复制粘贴即可用(请按实际端口修改):
- 安全组(入站):
• 类型:SSH,端口:2222,源:你的办公IP/32,协议:TCP
• 类型:HTTP,端口:80,源:0.0.0.0/0,协议:TCP
• 类型:HTTPS,端口:443,源:0.0.0.0/0,协议:TCP - 网络ACL(入站):
• 编号:10,类型:Custom TCP,端口:2222,源:你的办公IP/32,允许
• 编号:20,类型:HTTP,端口:80,源:0.0.0.0/0,允许
• 编号:30,类型:HTTPS,端口:443,源:0.0.0.0/0,允许
• 编号:100,类型:ALL,源:0.0.0.0/0,拒绝(保留,作为兜底) - 网络ACL(出站):
• 编号:100,类型:ALL,目标:0.0.0.0/0,允许(必须有!否则响应发不出去)
最后送一句大实话:防火墙不是越复杂越安全,而是越清晰越可靠。把规则写得像代码一样有注释(比如“# 2024Q3运维IP段”),定期清理半年不用的旧规则,比背一百条最佳实践都管用。
毕竟,线上没有银弹,只有按时吃饭、及时备份、以及——配对的防火墙规则。
