腾讯云充值卡购买 腾讯云国际安全组配置
各位正在海外服务器上反复敲 ssh: Connection refused 却怀疑人生的朋友——别急着重装系统,也先别给客服发第7封邮件。大概率,不是你的密码错了,也不是服务器挂了,而是你被腾讯云国际站那个看似温柔、实则暗藏玄机的「安全组」,悄悄掐住了脖子。
没错,它不叫“防火墙”,但比防火墙更爱管闲事;它不拦你吃饭,但坚决不让你的 SSH 连进来;它不阻止你写代码,但能让你的网站在浏览器里原地蒸发。今天咱们不讲定义、不背文档、不列参数表,就用一顿火锅的时间,把腾讯云国际安全组配置,给你捋得明明白白、热气腾腾。
一、先破个幻觉:安全组 ≠ 服务器自带的 iptables
很多刚从阿里云/国内腾讯云转过来的朋友,第一反应是:“哦,这不就是个云版 iptables?”——错!大错特错。安全组是腾讯云在虚拟网络层(VPC)做的统一访问控制策略,它运行在网卡之上、操作系统之下,不管你系统里 iptables 开没开、ufw 启没启、firewalld 删没删,安全组都先把你拦在门外。换句话说:它才是真正的“门神”,而你本地的防火墙?顶多算个穿睡衣在家门口晃悠的保安,门神不点头,保安连递杯水的机会都没有。
所以,当你发现 CentOS 7 里 systemctl stop firewalld 之后还是连不上,别挠头——你根本还没摸到真正的门锁。
二、国际站 vs 国内站:那个让人想摔键盘的差异
腾讯云国际站(console.tencentyun.com)和国内站(console.cloud.tencent.com)虽然长得像双胞胎,但安全组默认策略简直是异卵双生:
- 国内站:新建安全组,默认放行全部入站(0.0.0.0/0,全端口)。友好得像邻居家送饺子。
- 国际站:新建安全组,默认拒绝全部入站 & 出站。冷酷得像房东收租日的微信回复:“收到。”
这就解释了为什么你在国际站一键创建实例后,ping 不通、ssh 连不上、HTTP 打不开——不是你手抖,是腾讯国际站用沉默告诉你:“欢迎来到零信任世界,请先证明你是谁。”
三、四步通关法:配安全组就像点外卖
别怕,它真没那么玄。我们把它拆成四个动作,每一步都对应一个生活场景:
① 创建安全组 → 开一家新店,先注册营业执照
路径:控制台 > VPC > 安全组 > 新建。起名别叫“sg-123456”——建议用语义化命名,比如 web-prod-http-https 或 jump-server-ssh-only。名字是你未来的救命稻草,三个月后你绝对会感谢此刻认真取名的自己。
② 配置规则 → 贴一张“本店营业时间+菜单”告示
重点来了!规则分「入站」(Inbound)和「出站」(Outbound)两栏,千万别搞反:
- 入站:别人访问你。比如用户打开你的网站(80/443)、运维连 SSH(22)。
- 出站:你访问别人。比如服务器 yum 更新、调用微信 API、发邮件。
每条规则要填五要素,记住口诀:协、端、源、描、优(协议、端口、源 IP、描述、优先级):
- 协议类型:TCP / UDP / ICMP / ALL。Web 服务选 TCP;Ping 测通选用 ICMP;不确定就选 TCP(最常用)。
- 端口范围:别写 “22” 就完事!要写
22或80,443或8000-8080。注意:国际站不支持 “-1” 表示全部端口,必须明确写1-65535(慎用!)。 - 腾讯云充值卡购买 源 IP:这是最大雷区!
✅0.0.0.0/0:全世界都能连(适合测试或 CDN 回源)
✅1.2.3.4/32:仅允许某固定 IP(适合跳板机)
❌192.168.1.0:无效!必须带 CIDR 掩码,如192.168.1.0/24
⚠️::/0:IPv6 全放行(国内很少用,国际站部分区域需额外配) - 描述:写清楚用途!比如“允许办公网 SSH 访问(202.100.1.0/24)”,别写“临时用”。
- 优先级:数字越小越优先。默认 1~100。建议从 1000 开始倒着编(1000, 999, 998…),留足插队空间。
③ 关联实例 → 把告示贴到自家店门上
安全组建好≠生效!必须手动绑定到 CVM 实例。路径:CVM 控制台 > 实例列表 > 更多 > 网络与安全组 > 编辑安全组。注意:一个实例可绑多个安全组,策略是“取并集”(只要任一规则允许,就算放行)。
④ 验证 & 排查 → 点完外卖,先看骑手定位再刷手机
配完别急着庆祝,三步快速验证:
- 本地 ping 测试:如果 ping 不通,先检查是否开了 ICMP 入站(国际站默认关!);
- telnet 或 nc 测试端口:
telnet your-ip 22,若超时,说明入站规则没生效; - 登录后检查应用状态:比如
systemctl status nginx,确认服务真在跑,不是安全组问题而是程序挂了。
四、真实场景配置速查表(抄作业版)
| 场景 | 方向 | 协议 | 端口 | 源 IP | 描述 |
|---|---|---|---|---|---|
| SSH 远程管理 | 入站 | TCP | 22 | 你的办公室公网IP/32 | 仅允许公司IP登录 |
| 对外提供网站 | 入站 | TCP | 80,443 | 0.0.0.0/0 | HTTP/HTTPS 全网开放 |
| 服务器自动更新 | 出站 | TCP | 80,443 | 0.0.0.0/0 | yum/apt 需访问镜像源 |
| 数据库只允许内网访问 | 入站 | TCP | 3306 | 10.0.0.0/16 | 同VPC内其他CVM访问MySQL |
五、血泪避坑指南(来自一位重装过3次系统的前辈)
- 坑1:改了规则不生效?→ 检查是否绑定到实例!安全组改了,实例没换组,等于写了情书却寄给了隔壁老王。
- 坑2:绑了还是连不上?→ 查源IP!很多人填
123.123.123.123,忘了加/32;或者用了动态公网IP却没更新规则。 - 坑3:网站打不开,但SSH能连?→ 90% 是没开 80/443 入站,剩下 10% 是 Nginx 没监听 0.0.0.0:80,只监听了 127.0.0.1。
- 坑4:出站全拒,yum 直接摆烂?→ 国际站默认出站全拒!务必加一条出站规则放行 80/443,否则 apt/yum/dnf 全部罢工。
六、终极心法:安全组哲学三问
每次配规则前,默念三遍:
- 谁要访问我?(入站:来源 IP 是谁?)
- 我要访问谁?(出站:目标服务在哪?需要什么端口?)
- 我到底想通什么?(别贪图方便全开 0.0.0.0/0,最小权限原则永远成立)
最后送一句腾讯云国际站老用户总结的顺口溜:
国际安全组,冷面不认人。
入站不出站,两手都要硬。
规则写了不算数,绑定实例才入门。
端口协议源IP,缺一不可像呼吸。
配完不测试,等于没配——
建议备好重启键,以及一杯续命咖啡。
好了,现在你可以合上这篇,打开控制台,深呼吸,然后——优雅地,把那条缺失的 22 端口规则,亲手加进去。
祝你连接顺利,请求成功,日志清爽,半夜不用爬起来修服务器。
