+++
title = "创建安全组"
weight = 10
+++


### 为您的 VPC 创建安全组

从 **AWS 控制台** 中，转到 **服务** 并选择 **VPC**。在左侧面板中，单击安全性部分下的 **安全组**，然后单击 **创建安全组**。

#### 1. 为负载均衡器创建安全组

为 **安全组** 输入以下参数

| 安全组名称               | 描述      								   | VPC            |
| ---------------------- | ---------------- |----------------------------------|
| LB-SG                  | Load balancer security group            | 您之前创建的 VPC （如 TargetVPC） |

![create-lb-sg](/ecs/create-lb-sg.zh.png)

向下滚动，然后在 **入站规则** 部分点击 **添加规则**，添加来自任何位置的HTTP和HTTPS访问权限，以允许用户访问网站。

类型                   | 协议      	    | 源        |
| ------------------- | -------------- |-----------|
| HTTP                | TCP            | 任何位置   |
| HTTPS               | TCP            | 任何位置   |

![edit-lb-sg](/ecs/edit-lb-sg.zh.png)

点击 **创建安全组** 按钮以创建安全组。

#### 2. 为 ECS 任务创建安全组

在 **安全组** 界面，点击 **创建安全组** 然后输入以下参数：

| 安全组名称               | 描述      								   | VPC            |
| ---------------------- | ---------------- |----------------------------------|
| ECS-Tasks-SG           | Allow communication between the LB and the ECS Tasks| 您之前创建的 VPC （如 TargetVPC）  |

向下滚动，然后在 **入站规则** 部分点击 **添加规则**，允许负载均衡器和 ECS 任务之间进行通信（在 **源** 的输入框中输入并选择 **LB-SG** 安全组）

| 类型                    | 协议     	   | 源            |
| ---------------------- | -------------- |----------------|
| 所有 TCP                | TCP            | 自定义 > LB-SG   |


![edit-task-sg](/ecs/edit-task-sg.zh.png)

点击 **创建安全组** 按钮以创建安全组。

#### 3. 为 Elastic File System (EFS) 创建安全组

在 **安全组** 界面，点击 **创建安全组** 然后输入以下参数：

| 安全组名称               | 描述      								   | VPC            |
| ---------------------- | ---------------- |----------------------------------|
| EFS-SG                 | Allow communication between ECS tasks and EFS       | 您之前创建的 VPC （如 TargetVPC）  |

向下滚动，然后在 **入站规则** 部分点击 **添加规则**，允许 ECS 任务和 Amazon EFS 之间进行通信。仅临时启用 Webserver 对 EFS 的访问权限，以便能够挂载 EFS 卷和复制 Web 应用程序静态文件（稍后您将删除它）。

| 类型                | 协议           | 源            |
| ---------------------- | ---------- |----------------|
| NFS                | TCP            | 自定义 > ECS-Tasks-SG  |
| NFS                | TCP            | 自定义 > WebServer SG  |

![edit-efs-sg](/ecs/edit-efs-sg.zh.png)

点击 **创建安全组** 按钮以创建安全组。

#### 4. 修改数据库安全组

在 **安全组** 界面，修改数据库安全组 (DB-SG)，允许来自 ECS-Tasks-SG 在端口 3306 (MySQL 端口) 上的入站流量 — 允许 ECS 任务与目标数据库之间的通信（您应当已经看到 来自于 Webserver 和 Replication instance 的两个入站规则）。

| 类型                  | 协议   		   | 源            |
| ---------------------- | ---------------- |----------------|
| MySQL                | TCP            | 自定义 > ECS-Tasks-SG   |


![update-db-sg](/ecs/update-db-sg.zh.png)