ECS

云服务器（Elastic Compute Service，简称ECS）是阿里云提供的性能卓越、稳定可靠、弹性扩展的IaaS（Infrastructure as a Service）级别云计算服务。

云服务器ECS免去了您采购IT硬件的前期准备，让您像使用水、电、天然气等公共资源一样便捷、高效地使用服务器，实现计算资源的即开即用和弹性伸缩。

阿里云ECS持续提供创新型服务器，解决多种业务需求，助力您的业务发展。

为什么选择云服务器ECS

选择云服务器ECS，您可以轻松构建具有以下优势的计算资源：

无需自建机房，无需采购以及配置硬件设施。
分钟级交付，快速部署，缩短应用上线周期。
快速接入部署在全球范围内的数据中心和BGP机房。
成本透明，按需使用，支持根据业务波动随时扩展和释放资源。
提供GPU和FPGA等异构计算服务器、弹性裸金属服务器以及通用的x86架构服务器。
支持通过内网访问其他阿里云服务，形成丰富的行业解决方案，降低公网流量成本。
提供虚拟防火墙、角色权限控制、内网隔离、防病毒攻击及流量监控等多重安全方案。
提供性能监控框架和主动运维体系。
提供行业通用标准API，提高易用性和适用性。

产品优势

与普通的IDC（Integrated Data Center）机房或服务器厂商相比，阿里云提供的云服务器ECS具有高可用性、安全性和弹性的优势。

高可用性

相较于普通的IDC机房以及服务器厂商，阿里云使用更严格的IDC标准、服务器准入标准以及运维标准，保证云计算基础框架的高可用性、数据的可靠性以及云服务器的高可用性。

阿里云提供的每个地域都存在多可用区。当您需要更高的可用性时，可以利用多可用区部署方案搭建主备服务或者双活服务。对于面向金融领域的两地三中心的解决方案，您也可以通过多地域和多可用区搭建出更高的可用性服务。

其中包括容灾、备份等服务，阿里云都有非常成熟的解决方案。

阿里云的产品体系框架中的云服务之间可以实现平滑切换。更多有关两地三中心、电子商务、视频服务等解决方案，请参见阿里云行业解决方案。

此外，阿里云为您提供了如下三项支持：

提升可用性的产品和服务。包括云服务器ECS、负载均衡SLB、关系型数据库RDS以及数据迁移服务DTS等。
行业合作伙伴以及生态合作伙伴。帮助您完成更稳定的架构，并且保证服务的持续性。
多种多样的培训服务。让您从业务端到底层服务端，在整条链路上实现高可用。

安全性

阿里云通过了多种国际安全标准认证，包括ISO27001、MTCS等。安全合规性对于用户数据的私密性、用户信息的私密性以及用户隐私的保护力度都有非常严格的要求。

在网络建设方面，推荐您使用阿里云专有网络VPC。专有网络提供了稳定、安全、快速交付、自主可控的网络环境。对于传统行业以及未接触到云计算的行业和企业而言，借助专有网络混合云的能力和混合云的架构，将享受云计算所带来的技术红利。

丰富的网络产品体系

您只需进行简单配置，就可在当前的业务环境下，与全球所有机房进行串接，从而提高了业务的灵活性、稳定性以及业务的可发展性。

与自建的IDC机房互连

阿里云专有网络可以建立高速通道到您原有的IDC机房，形成混合云的架构。阿里云提供了多种混合云解决方案和丰富的网络产品，形成强大的网络功能，让您的业务更加灵活。

专有网络的稳定性

业务搭建在专有网络上，而网络的基础设施将会不停进化，使您每天都拥有更新的网络架构以及更新的网络功能，让您的业务永远保持在一个稳定的状态。

专有网络的安全性

面对互联网上不断的攻击流量，专有网络天然具备流量隔离以及攻击隔离的功能。业务搭建在专有网络上后，专有网络会为业务筑起第一道防线。

弹性

云计算最大的优势在于弹性与灵活性。

阿里云拥有在数分钟内创建出一家中型互联网公司所需要的IT资源的能力，保证了大部分企业在云上所构建的业务都能够承受巨大的业务量压力。

阿里云的弹性体现在计算的弹性、存储的弹性、网络的弹性以及您对于业务架构重新规划的弹性。您可以使用任意方式去组合业务，阿里云都能够满足您的需求。

计算弹性

纵向的弹性。

即单台云服务器ECS的配置变更。普通IDC模式下，很难做到对单台服务器进行变更配置。而对于阿里云，当您购买了云服务器ECS或者存储的容量后，可以根据业务量的增减自由变更配置。关于纵向弹性的具体步骤，请参见升降配。

横向的弹性。

对于游戏应用或直播平台出现的高峰期，若在普通的IDC模式下，您根本无法立即准备资源；而云计算却可以使用弹性的方式帮助您度过这样的高峰。当业务高峰消失时，您可以将多余的资源释放掉，以减少业务成本。利用横向的扩展和缩减，配合阿里云的弹性伸缩，完全可以做到定时定量的伸缩，或者按照业务的负载进行伸缩。关于横向弹性的具体应用，请参见什么是弹性伸缩。

存储弹性

当数据量增多时，对于普通的IDC方案，您只能不断增加服务器，而这样扩展的服务器数量是有限的。阿里云为您提供海量的存储，您可以按需购买，为存储提供最大保障。关于存储弹性的具体应用，请参见云盘扩容。

网络弹性

阿里云的专有网络VPC的网络配置与普通IDC机房配置可以是完全相同的，并且可以拥有更灵活的拓展性。在阿里云，您可以实现各个可用区（机房）之间的互联互通、安全域隔离以及灵活的网络配置和规划。关于网络弹性的具体应用，请参见专有网络。

应用场景

云服务器ECS具有广泛的应用场景，既可以作为Web服务器或者应用服务器单独使用，又可以与其他阿里云服务集成提供丰富的解决方案。

企业官网或轻量的Web应用

网站初始阶段访问量小，只需要一台低配置的云服务器ECS实例即可运行Apache或Nginx等Web应用程序、数据库、存储文件等。随着网站发展，您可以随时升级ECS实例的配置，或者增加ECS实例数量，无需担心低配计算单元在业务突增时带来的资源不足。

多媒体以及高并发应用或网站

云服务器ECS与对象存储OSS搭配，对象存储OSS承载静态图片、视频或者下载包，进而降低存储费用。同时配合内容分发网络CDN和负载均衡SLB，可大幅减少用户访问等待时间、降低网络带宽费用以及提高可用性。更多详情，请参见对象存储OSS、CDN和负载均衡。

高I/O要求数据库

支持承载高I/O要求的数据库，如OLTP类型数据库以及NoSQL类型数据库。您可以使用较高配置的I/O优化型云服务器ECS，同时采用ESSD云盘，可实现高I/O并发响应和更高的数据可靠性。您也可以使用多台中等偏下配置的I/O优化型ECS实例，搭配负载均衡SLB，建设高可用底层架构。更多详情，请参见ESSD云盘和负载均衡。

访问量波动剧烈的应用或网站

某些应用，如抢红包应用、优惠券发放应用、电商网站和票务网站，访问量可能会在短时间内产生巨大的波动。您可以配合使用弹性伸缩，自动化实现在请求高峰来临前增加ECS实例，并在进入请求低谷时减少ECS实例。满足访问量达到峰值时对资源的要求，同时降低了成本。如果搭配负载均衡SLB，您还可以实现高可用应用架构。更多详情，请参见弹性伸缩和负载均衡。

大数据及实时在线或离线分析

云服务器ECS提供了大数据类型实例规格族，支持Hadoop分布式计算、日志处理和大型数据仓库等业务场景。由于大数据类型实例规格采用了本地存储的架构，云服务器ECS在保证海量存储空间、高存储性能的前提下，可以为云端的Hadoop集群、Spark集群提供更高的网络性能。更多详情，请参见大数据型实例规格族。

机器学习和深度学习等AI应用

通过采用GPU计算型实例，您可以搭建基于TensorFlow框架等的AI应用。此外，GPU计算型还可以降低客户端的计算能力要求，适用于图形处理、云游戏云端实时渲染、AR/VR的云端实时渲染等瘦终端场景。更多详情，请参见GPU计算型实例。

产品架构

云服务器ECS主要包含以下功能组件：

实例：等同于一台虚拟服务器，内含CPU、内存、操作系统、网络配置、磁盘等基础的计算组件。实例的计算性能、内存性能和适用业务场景由实例规格决定，其具体性能指标包括实例vCPU核数、内存大小、网络性能等。

镜像：提供实例的操作系统、初始化应用数据及预装的软件。操作系统支持多种Linux发行版和多种Windows Server版本。

块存储：块设备类型产品，具备高性能和低时延的特性。提供基于分布式存储架构的云盘以及基于物理机本地存储的本地盘。

快照：某一时间点一块云盘的数据状态文件。常用于数据备份、数据恢复和制作自定义镜像等。

安全组：由同一地域内具有相同保护需求并相互信任的实例组成，是一种虚拟防火墙，用于设置实例的网络访问控制。

网络：

专有网络（Virtual Private Cloud）：逻辑上彻底隔离的云上私有网络。您可以自行分配私网IP地址范围、配置路由表和网关等。

经典网络：所有经典网络类型实例都建立在一个共用的基础网络上。由阿里云统一规划和管理网络配置。

更多功能组件详情，请参见云服务器ECS产品详情页。

架构图

以下为云服务器ECS的产品组件架构图，图中涉及的功能组件的详细介绍请参见相应的帮助文档。

管理工具

通过注册阿里云账号，您可以在任何地域下，通过阿里云提供的以下途径创建、使用或者释放云服务器ECS：

ECS管理控制台：具有交互式操作的Web服务页面。关于管理控制台的操作，请参见常用操作导航。

ECS API：支持GET和POST请求的RPC风格API。关于API说明，请参见API参考。以下为调用云服务器ECS API的常用开发者工具：

命令行工具CLI：基于阿里云API建立的灵活且易于扩展的管理工具。您可基于命令行工具封装阿里云的原生API，扩展出您需要的功能。

OpenAPI Explorer：提供快速检索接口、在线调用API和动态生成SDK示例代码等服务。

阿里云SDK：提供Java、Python、PHP等多种编程语言的SDK。

资源编排（Resource Orchestration Service）：通过创建一个描述您所需的所有阿里云资源的模板，然后资源编排将根据模板，自动创建和配置资源。

运维编排服务（Operation Orchestration Service）：自动化管理和执行运维任务。您可以在执行模板中定义执行任务、执行顺序、执行输入和输出等，通过执行模板达到自动化完成运维任务的目的。

Terraform：能够通过配置文件在阿里云以及其他支持Terraform的云商平台调用计算资源，并对其进行版本控制的开源工具。

阿里云App：移动端类型的管理工具。

Alibaba Cloud Toolkit：阿里云针对IDE平台为开发者提供的一款插件，用于帮助您高效开发并部署适合在云端运行的应用。

部署建议

您可以从以下维度考虑如何启动并使用云服务器ECS：

地域和可用区

地域指阿里云的数据中心，地域和可用区决定了ECS实例所在的物理位置。一旦成功创建实例后，其元数据（仅专有网络VPC类型ECS实例支持获取元数据）将确定下来，并无法更换地域。

您可以从用户地理位置、阿里云产品发布情况、应用可用性、以及是否需要内网通信等因素选择地域和可用区。

例如，如果您同时需要通过阿里云内网使用云数据库RDS，RDS实例和ECS实例必须处于同一地域中。更多详情，请参见地域和可用区。

高可用性

为保证业务处理的正确性和服务不中断，建议您通过快照实现数据备份，通过跨可用区、部署集、负载均衡（Server Load Balancer）等实现应用容灾。

网络规划

阿里云推荐您使用专有网络VPC，可自行规划私网IP，全面支持新功能和新型实例规格。此外，专有网络VPC支持多业务系统隔离和多地域部署系统的使用场景。

更多详情，请参见专有网络（Virtual Private Cloud）。

安全方案

您可以使用云服务器ECS的安全组，控制ECS实例的出入网访问策略以及端口监听状态。

对于部署在云服务器ECS上的应用，阿里云为您提供了免费的DDoS基础防护和基础安全服务，此外您还可以使用阿里云云盾，例如：

通过DDoS高防IP保障源站的稳定可靠。更多详情，请参见DDoS高防IP文档。

通过云安全中心保障云服务器ECS的安全。更多详情，请参见云安全中心文档。

地域和可用区

本文提供完整的阿里云地域和可用区列表。

每个地域完全独立。每个可用区完全隔离，但同一个地域内的可用区之间使用低时延链路相连。地域和可用区之间的关系如下图所示。

如何选择区域

选择地域时，您需要考虑以下几个因素：

地理位置

请根据您以及您目标用户所在的地理位置选择地域。

中国内地

一般情况下建议选择和您目标用户所在地域最为接近的数据中心，可以进一步提升用户访问速度。不过，在基础设施、BGP网络品质、服务质量、云服务器操作使用与配置等方面，阿里云中国内地地域没有太大区别。BGP网络可以保证中国内地全部地域的快速访问。

其他国家及地区

其他国家及地区提供国际带宽，主要面向非中国内地用户。如果您在中国内地，使用这些地域会有较长的访问延迟，不建议您使用。

对中国香港、东南亚有需求的用户，可以选择中国香港地域、亚太东南 1 地域、亚太东南 3 地域或亚太东南 5 地域。

对日、韩有需求的用户，可以选择亚太东北 1 地域。

对印度有需求的用户，可以选择亚太南部 1 地域。

对澳大利亚地区有需求的用户，可以选择亚太东南 2 地域。

对美洲有需求用户，可以选择美国地域。

对欧洲大陆有需求的用户，可以选择欧洲中部 1 地域。

对中东地区有需求的用户，可以选择中东东部 1 地域。

阿里云产品之间的关系

如果多个阿里云产品一起搭配使用，需要注意：

不同地域的云服务器ECS、关系型数据库RDS、对象存储服务OSS内网不互通。

不同地域之间的云服务器ECS不能跨地域部署负载均衡，即在不同的地域购买的ECS实例不支持跨地域部署在同一负载均衡实例下。

可用区（Zone）

可用区是指在同一地域内，电力和网络互相独立的物理区域。

同一可用区内实例之间的网络延时更小。

在同一地域内可用区与可用区之间内网互通，可用区之间能做到故障隔离。

是否将实例放在同一可用区内，主要取决于对容灾能力和网络延时的要求。

如果您的应用需要较高的容灾能力，建议您将实例部署在同一地域的不同可用区内。

如果您的应用要求实例之间的网络延时较低，建议您将实例创建在同一可用区内。

使用限制

使用云服务器ECS有下列限制：

不支持安装虚拟化软件和二次虚拟化（例如安装使用VMware Workstation）。仅弹性裸金属服务器和超级计算集群支持二次虚拟化。

不支持声卡应用。

不支持直接加载外接硬件设备（如硬件加密狗、U盘、外接硬盘、银行U key等），您可以尝试软件加密狗或者动态口令二次验证等。

不支持多播协议。如果需要使用多播，建议改为使用单播点对点方式。

日志服务不支持32位Linux系统云服务器。

如何查看日志服务支持的云服务器系统，请参见Logtail简介。

如果云服务器需要备案，则云服务器有购买要求，且每台ECS实例可申请的备案服务号数量有限。详情请参见备案服务器（接入信息）准备与检查。备案流程请参见ICP备案流程概述。

计费概述

一台云服务器ECS包括ECS实例、镜像、块存储等资源。

收费资源

ECS实例

以实例规格的形式提供，包括vCPU和内存，收取实例规格费用。

镜像

镜像包括以下类型：

（1）公共镜像

Windows Server：计费与实例规格大小有关，以售卖页显示为准。

Red Hat Enterprise Linux：收取镜像费用，以售卖页显示为准。

其他：免费。

（2）镜像市场的镜像，以镜像供应商提供的信息为准。

（3）自定义镜像

来源于免费公共镜像/镜像市场镜像：收取快照容量费用。

来源于付费公共镜像/镜像市场镜像：收取快照容量费用。如果创建ECS实例时使用了自定义镜像，还会收取镜像费用。

（4）共享镜像

来源于免费公共镜像/镜像市场镜像：免费。

来源于付费公共镜像/镜像市场镜像：如果创建ECS实例时使用了该共享镜像，则收取费用。若从未使用，则不收费。

块存储

块存储包括以下类型：

云盘：收取云盘容量费用，可以用作系统盘和数据盘。

本地盘：收取本地盘容量费用，只能用作数据盘。此处本地盘指与特定实例规格绑定的本地盘，不支持单独购买，且费用计入实例规格。

配备本地盘的实例规格族包括但不限于：d1ne、d1、i2、i2g、i1和gn5，更多实例规格族信息请参见实例规格族。

公网带宽

ECS实例可以通过以下方式访问公网：

通过固定公网IP访问：不收取固定公网IP保有费用，仅收取公网出网带宽费用。详情请参见公网带宽计费方式。

通过弹性公网IP（EIP）访问：EIP为独立产品，详情请参见EIP计费概述。

通过NAT网关访问：NAT网关为独立产品，详情请参见NAT网关计费说明。

快照

收取快照容量费用。

计费方式

ECS资源的主要计费方式为包年包月和按量付费。

包年包月：一种预付费模式，即先付费再使用。一般适用于固定的7*24服务，例如Web服务。更多信息，请参见包年包月。

按量付费：一种后付费模式，即先使用再付费。一般适用于有爆发业务量的应用或服务，例如临时扩展、临时测试、科学计算。更多信息，请参见按量付费。

镜像

ECS镜像提供了创建ECS实例所需的信息。

创建ECS实例时，必须选择镜像。

镜像文件相当于副本文件，该副本文件包含了一块或多块云盘中的所有数据，对于ECS实例而言，这些云盘可以是单块系统盘，也可以是系统盘加数据盘的组合。

镜像类型

ECS镜像根据来源不同，分为公共镜像、自定义镜像、共享镜像和镜像市场镜像。

公共镜像

阿里云官方提供的镜像，皆是正版授权，安全性好，稳定性高。公共镜像包含了Windows Server系统镜像和主流的Linux系统镜像。更多详情，请参见公共镜像。

自定义镜像

您使用实例或快照创建的镜像，或是您从本地导入的自定义镜像。

更多详情，请参见自定义镜像。

共享镜像

其他阿里云账号共享给您的镜像。

更多详情，请参见共享镜像。

镜像市场镜像

镜像市场的镜像根据供应商不同，可分为以下两种。

由阿里云官方账号提供的镜像。

由第三方服务商ISV（Independent Software Vendor）通过阿里云云市场授权提供的镜像。

镜像市场的镜像包括操作系统和预装软件等，均经过服务商与阿里云严格测试，保证镜像内容的安全性。

块存储

块存储是阿里云为云服务器ECS提供的块设备产品，具有高性能和低时延的特点，支持随机读写。

您可以像使用物理硬盘一样格式化并建立文件系统来使用块存储，满足大部分通用业务场景下的数据存储需求。

块存储类型

阿里云为您的云服务器ECS提供了丰富的块存储产品，包括基于分布式存储架构的云盘以及基于物理机本地硬盘的本地盘产品。

云盘

数据块级别的块存储产品。

云盘采用多副本的分布式机制，具有低时延、高性能、持久性、高可靠等性能，支持随时创建、扩容以及释放。详情请参见云盘概述。

本地盘

基于云服务器ECS所在物理机（宿主机）上的本地硬盘设备，为ECS实例提供本地存储访问能力。

为对存储I/O性能和海量存储性价比有极高要求的业务场景而设计的产品。

具有低时延、高随机IOPS、高吞吐量、高性价比等优势。

数据安全

（1）读写稳定性

在同一可用区中，您的业务数据以多副本的形式分布存储在块存储集群中，保证读写过程中的数据稳定性，为ECS实例实现99.9999999%的数据可靠性保证。详情请参见云盘三副本技术。

（2）主动备份

您可以定期创建快照，提高业务数据的安全性。快照是阿里云备份产品，为云盘提供数据备份能力，确保日志和客户交易等信息有备份可查询。详情请参见快照概述。

（3）数据擦除机制

您删除的数据不会被其他用户通过任何途径访问，分布式块存储系统中已删除的数据一定会被完全擦除。

主要通过以下机制保证数据擦除的完整性：

云盘底层基于顺序追加写实现，该设计充分利用物理盘顺序写高带宽低时延的特性。基于追加写的特性，删除云盘逻辑空间的操作会被作为元数据记录，一切对该逻辑空间的读操作，存储系统会确保返回全零。

同理，您对逻辑空间的覆盖写不会立即覆盖物理磁盘上对应空间，存储系统通过修改逻辑空间与物理空间之间的映射关系来实现云盘的覆盖写，确保无法读取被覆盖的数据。

一切删除或者覆盖写操作形成的物理磁盘上的遗留数据，会从底层物理磁盘上强制永久删除。

当您释放块设备（云盘）时，存储系统立即销毁元数据，确保无法继续访问数据。同时，该云盘对应的物理存储空间会被回收。物理空间再次被分配前一定是清零过的，在首次写入数据前，所有新建的云盘的读取返回全部是零。

（4）数据加密

对于数据敏感型应用，建议您加密存储设备。ECS云盘加密采用行业标准的AES-256算法，利用密钥加密云盘以及云盘快照。从ECS实例传输到云盘的数据会被自动加密，并在读取数据时自动解密。

详情请参见加密概述。

快照

阿里云快照可以为所有类型的云盘创建崩溃一致性快照，是一种便捷高效的数据容灾手段，常用于数据备份、制作自定义镜像、应用容灾等。

应用场景

推荐您在以下场景中使用快照。

容灾备份：为云盘创建快照，再使用快照创建云盘获取基础数据，实现同城容灾和异地容灾。

环境复制：使用系统盘快照创建自定义镜像，再使用自定义镜像创建ECS实例，实现环境复制。

数据开发：为数据挖掘、报表查询和开发测试等应用提供近实时的真实生产数据。

提高容错率：出现操作失误时，能及时回滚数据，降低操作风险，实现版本回退。

定期创建快照，避免常见的失误操作。例如，团队成员不慎在云盘上存储了错误的数据、ECS实例被误释放、应用错误导致了数据错误、或者骇客利用应用漏洞恶意删除业务数据等。

执行重要操作前创建一份快照，常见的重要运维操作包括更换操作系统、应用软件升级或业务数据迁移等。

使用限制

有关快照的使用限制及配额，请参见使用限制快照章节。

使用本地快照具有以下限制：

仅ESSD云盘支持创建本地快照。

单块ESSD云盘最多能保留10份本地快照。

使用本地快照创建云盘时，设置的云盘容量不能小于快照大小。

不支持通过自动快照策略创建本地快照。

不支持为加密云盘和本地盘创建本地快照。

安全组

安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。

通过配置安全组规则，您可以控制安全组内ECS实例的入流量和出流量。

安全组定义

安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。

安全组具有以下功能特点：

一台ECS实例至少属于一个安全组，可以同时加入多个安全组。
一个安全组可以管理同一个地域内的多台ECS实例。
在没有设置允许访问的安全组规则的情况下，不同安全组内的ECS实例之间默认内网不通。
安全组支持有状态应用。一个有状态的会话连接中，会话的最长保持时间是910秒。安全组会默认放行同一会话中的通信。例如，在会话期内，如果连接的数据包在入方向是允许的，则在出方向也是允许的。

安全组规则

建立数据通信前，安全组逐条匹配安全组规则查询是否放行访问请求。一条安全组规则由规则方向、授权策略、协议类型、端口范围、授权对象等属性确定，具体详见下表。

不同通信场景需要设置的安全组规则属性不同。

例如，您使用Xshell客户端远程连接Linux系统ECS实例时，当安全组检测到从公网或内网有SSH请求，会逐一检查入方向上安全组规则、发送请求的设备的IP地址是否已存在、优先级是为同类规则第一、授权策略是否为允许、22端口是否开启等。

只有匹配到一条安全组规则允许放行该请求时，方才建立数据通信。

下图为使用Xshell远程连接Linux系统ECS实例的规则匹配举例。

默认安全组

通过ECS管理控制台创建实例时，若您未在该地域创建安全组，则阿里云会在创建实例的同时，创建一个默认安全组。

默认安全组为普通安全组，网络类型和ECS实例一致。

默认安全组的默认安全组规则如下：

入方向：

默认放行：ICMP协议、SSH 22端口、RDP 3389端口，授权对象为0.0.0.0/0。

更多选择：HTTP 80端口和HTTPS 443端口，需自行勾选。

规则优先级：100。

说明 2020年05月27日以前系统创建的默认安全组规则的优先级为110。

出方向：

允许所有访问。

使用限制

ECS实例和弹性网卡对所属的安全组类型有以下要求：

一台ECS实例的主弹性网卡不能同时加入普通安全组和企业安全组。

一张辅助弹性网卡不能同时加入普通安全组和企业安全组。

更多有关安全组的使用限制及配额，请参见安全组使用限制。

实践建议

安全组的使用流程，您可以参见操作导航。

以下为一些实践建议。

使用安全组时

仅允许少量请求访问ECS实例时，可以将安全组作为白名单使用。即先设置安全组为拒绝全部访问，然后逐一添加允许通信的访问请求策略。

不建议使用一个安全组管理所有应用，不同的分层一定有不同的隔离需求。

不建议为每台ECS实例单独设置一个安全组，您只需将具有相同安全保护需求的ECS实例加入同一安全组。

添加安全组规则时

建议您设置简洁的安全组规则。如果您给一台ECS实例分配了多个安全组，该ECS实例很可能会同时遵循数百条安全组规则，任何规则变更都可能引起网络不通的故障。

如果您需要修改生产环境的安全组规则，建议您提前在克隆的安全组上进行调试，避免影响线上应用。详情请参见克隆安全组。

为应用添加安全组规则时遵循最小授权原则。

例如，您可以：

选择开放具体的端口，如80/80。不要设置为端口范围，如1/80。

添加安全组规则时，谨慎授权0.0.0.0/0（全网段）访问源。

网络

云服务器ECS提供的网络类型包括专有网络和经典网络。

专有网络

专有网络（Virtual Private Cloud，简称VPC）是您基于阿里云构建的一个隔离的网络环境，专有网络之间逻辑上彻底隔离。

您可以自定义这个专有网络的拓扑和IP地址，适用于对网络安全性要求较高和有一定网络管理能力的用户。

更多详情，请参见什么是专有网络。

经典网络

经典网络类型的云产品，统一部署在阿里云公共基础设施内，规划和管理由阿里云负责，更适合对网络易用性要求比较高的用户。

参考资料

ali-doc

ECS
产品架构
地域和可用区
- 如何选择区域
使用限制
计费概述
- 收费资源
  - ECS实例
  - 镜像
  - 块存储
  - 公网带宽
  - 快照
- 计费方式
镜像
- 镜像类型
块存储
- 块存储类型
快照
- 应用场景
- 使用限制
安全组
网络
- 专有网络
- 经典网络
标签
- 应用场景
- 使用说明
参考资料

ECS

为什么选择云服务器ECS

产品优势

高可用性

安全性

弹性

应用场景

产品架构

架构图

管理工具

部署建议

地域和可用区

高可用性

网络规划

安全方案

相关服务

地域和可用区

如何选择区域

地理位置

阿里云产品之间的关系

可用区（Zone）

使用限制

计费概述

收费资源

ECS实例

镜像

块存储

公网带宽

快照

计费方式

镜像

镜像类型

公共镜像

自定义镜像

共享镜像

镜像市场镜像

块存储

块存储类型

云盘

本地盘

数据安全

快照

应用场景

使用限制

安全组

安全组定义

安全组规则

默认安全组

入方向：

出方向：

使用限制

实践建议

使用安全组时

添加安全组规则时

网络

专有网络

经典网络

标签

应用场景

使用说明

参考资料

更多学习