阿里云香港服务器搭建vps时的网络配置与安全组策略

1. 前期准备与选型

1. 在阿里云控制台选择地域为“香港”，确保你的账号支持该地域；准备好SSH密钥或密码登录信息；决定使用VPC还是经典网络（建议使用VPC以便细粒度控制）。

2. 创建VPC与交换子网

2. 控制台→网络与安全→专有网络（VPC）→新建VPC：填写CIDR（如172.16.0.0/16）；新建交换子网（Subnet），选择香港可用区并写入子网CIDR（如172.16.1.0/24）。记下VPC和子网ID。

3. 申请弹性公网IP（EIP）并绑定

3. 如果需要公网访问，先申请EIP（网络与安全→弹性公网IP），选择带宽峰值，申请成功后在创建实例时或创建后绑定到ECS实例的网卡上；若要固定IP，建议购买包年包月。

4. 创建ECS实例（VPS）详细步骤

4. 控制台→产品与服务→云服务器ECS→创建实例：选择镜像（Ubuntu/CentOS），实例规格（vCPU/内存），存储（系统盘/数据盘），网络选择刚建的VPC与子网，是否分配公网IP（若不使用EIP可选择自动分配）。在配置登录凭证处上传SSH公钥或设置密码。

5. 安全组基础配置（创建）

5. 创建安全组：网络与安全→安全组→新建，选择所属地域为香港；创建时可使用默认模板，后续进行精准规则配置。记住一个实例可以绑定一个或多个安全组。

6. 安全组入站/出站规则（最小化原则）

6. 入站规则：仅开放必要端口，示例：SSH TCP 22（建议改端口后关闭22）、HTTP 80、HTTPS 443、应用端口按需开放；来源设置为可信IP（CIDR），尽可能限制到公司或个人固定公网IP。出站规则：默认允许全部，如要限制可设置相应目的端口。

7. 绑定安全组到实例并测试连通性

7. 在ECS实例管理页绑定刚创建的安全组，等待规则生效（一般即时）。使用本地终端尝试SSH连接（若使用新端口请写明：ssh -p 端口 用户@EIP）。若无法连通，检查安全组规则与EIP绑定状态、实例内防火墙（ufw/iptables）是否阻断。

8. 系统内防火墙与SSH加固

8. 进入服务器后执行：更新系统（Ubuntu: sudo apt update && sudo apt upgrade -y；CentOS: sudo yum update -y）。配置防火墙：Ubuntu使用ufw（sudo ufw allow 端口/tcp；sudo ufw enable）；CentOS可用firewalld或直接编辑iptables。SSH加固操作：修改/etc/ssh/sshd_config（更改Port，PermitRootLogin no，PasswordAuthentication no），然后重启SSH服务（sudo systemctl restart sshd）。先确保密钥可以登录再禁用密码。

9. 入侵防护与监控（fail2ban、云监控）

9. 安装fail2ban防止暴力破解（Ubuntu: sudo apt install fail2ban），配置/etc/fail2ban/jail.local，启用SSH监控。开启阿里云云监控与告警（控制台→云监控），添加ECS实例指标告警（CPU、网络异常、端口异常登录尝试等）。

10. 问：如何在阿里云香港VPC内实现私有实例访问公网并保证安全？

10. 答：可通过NAT网关或堡垒机实现。推荐方案：将需要对外访问的私有实例通过NAT网关访问互联网（控制台→NAT网关，创建并绑定弹性IP），同时不允许公网直连该实例；若需管理，使用堡垒机（跳板机）并通过安全组限制堡垒机来源IP，再由堡垒机SSH到私有实例。

11. 问：安全组与系统防火墙如何协同配置以减少误封风险？

11. 答：先在安全组层面做粗粒度限制（只允许必要端口和来源），再在实例内做细粒度限制（白名单、速率限制、应用层规则）。测试步骤：先在安全组放宽入站到你的管理IP，确保能连通，再逐步收紧规则并同时修改实例防火墙，避免两处都严格造成无法访问。

12. 问：如何备份与恢复ECS网络配置和安全组策略？

12. 答：安全组可以在控制台导出规则或使用Terraform/阿里云ROS模板管理为代码（Infrastructure as Code），便于版本化与恢复。ECS实例建议定期做快照与镜像备份（控制台→快照/镜像），必要时可以用镜像快速恢复到相同网络配置并重新绑定安全组与EIP。

来源：阿里云香港服务器搭建vps时的网络配置与安全组策略