Amazon EC2 新手初探：初始设置之创建安全组

在上一篇文章中我们已经创建了密钥对，也了解了创建 Amazon EC2 这种高级云端服务器，开启云端生产之旅的一些基础安全思想。但我们的准备工作还没有结束，接下来我们需要创建一个安全组。

什么是安全组？简单来说，安全组就是一组访问控制策略，相当于给我们的服务器请了一位看门老头。老头那里有一个小本本，记录了能够进出我们家（服务器）后台的所有人的列表。哪些人可以来，哪些人进来是有条件的，哪些人禁止进入，都在小本本（安全组规则）中。这里的访客就是一个个 IP 地址。就像密钥对一样，安全组也是为了防范互联网上的那些恶棍们。在安全组和密钥对的双重保护下，我们的服务器就有了相当不错的防护能力。

我们点开边栏中的安全组选项：

这里有一个默认安全组，我们是不能删除它的。我们点开它（点击那个 id）可以看到，它的入站规则和出站规则都很简单，都是允许所有流量，也就是说大家可以随便进出我们家，我们的看门老头都会视若无睹。当然，我们启动服务器后可不能使用这个安全组。下面我们就来创建一个比较安全的安全组。

我们点击安全组按钮回到安全组总览页面，点击创建安全组：

安全组名称还是填入自己喜欢的英文名称，描述就填入一段说明，这里也是英文，并且必须填写。然后是 VPC——什么是 VPC？简单来说，我们可以把它理解成是一个区域，在这个区域中的设备都可以互相通信，就像是我们自家的 Wifi 一样。这里 VPC 可以理解成我们自己的 Wifi——很显然，你的邻居不接入你的 Wifi 是没法访问你 Wifi 中的设备的，他们不能像你一样直接把手机照片投送到你家电视上。VPC 也是同理，一个 VPC 就是一个局域网区域。不过这里系统已经给我们自动设置了 VPC，所以我们暂时不用管它。

下面就该创建规则了。我们可以看到出站规则已经是默认的所有流量，这里我们不管它，因为一般来说我们会默认能进我家的人都可以不经检查直接出去。我们需要管的是入站规则。

规则有几个关键属性，首先是类型，这里指的是网络数据传输使用的网络协议类型，相当于你家的访客驾驶的汽车类型。然后是端口范围，这里指的是数据进入的网络端口，相当于你家的入口。网络服务器有很多端口，一般只使用默认端口来通信。接下来是源，也就是 IP 地址或地址范围，这是最关键的属性。

我们首先在类型那里选择 SSH，这是后台管理服务器的常用协议，我们以后会通过这个协议来管理我们的 Amazon EC2 服务器。然后在源那里的下拉菜单选择我的 IP 地址。

这里就出现了一个问题，我的 IP 地址很可能是经常变化的啊！下次我联网，地址变了怎么办？还好安全组创建后规则都是可以随时修改的，所以一个笨办法就是每次登录后再去修改一下这里的地址，然后在下一次换地址之前使用它连接。我们也可以设法搞到固定的 IP 地址，但这一次我们就先对付一下。

信息都选好了，我们点击添加规则即可。然后用类似的方式添加 HTTP 和 HTTPS 协议的规则，只是源那里选择任何位置（IPv4），因为这两个协议就是大家从互联网正常访问我们服务器的协议，这样只能看到服务器的前台，相当于只能看到你的博客的公开页面。当然目前我们也可以不添加这些协议，毕竟离我们的服务器对公网开放还有很久。现在这个页面变成了这样：

很显然我们可以随时删除其中的规则，或者添加新的规则，目前这样就已经可以了。

然后我们拖动到页面底部，点击创建安全组，Bingo！

回到安全组页面就可以看到我们刚刚创建的安全组跑到了默认安全组上面，这一步工作完成。

下一步，我们终于可以开始尝试启动一个 Amazon EC2 实例了。